Troyanos bancarios para Android han afectado a 300,000 usuarios de Google Play
Las campañas de malware que distribuyen troyanos para Android que roban credenciales bancarias en línea han infectado casi 300,000 dispositivos Esta sorprendente cantidad de usuarios se han visto afectados a través de aplicaciones maliciosas enviadas a través de la Play Store de Google.
Los troyanos bancarios de Android instalados en dispositivos comprometidos intentan robar las credenciales de los usuarios cuando inician sesión en una banca en línea o aplicaciones de criptomonedas. El robo de credenciales se realiza comúnmente utilizando superposiciones de formularios de inicio de sesión bancarios falsos. Estos se suelen mostrar en la parte superior de las pantallas de inicio de sesión de las aplicaciones legítimas.
Las credenciales robadas se envían de vuelta a los servidores del atacante. Allí, el atacante las recopila para venderlas a otros ciberdelincuentes o para robar criptomonedas y dinero de las cuentas de las víctimas.
Evolución de tácticas para evadir la detección
En un nuevo informe de ThreatFabric, los investigadores explican cómo descubrieron cuatro campañas de instaladores de malware diferentes. Los instaladores distribuían troyanos bancarios en Google Play Store.
Si bien los ciberdelincuentes que se infiltran en Google Play Store con troyanos bancarios de Android no son nada nuevo, los cambios recientes en las políticas de Google y el aumento de la vigilancia han obligado a los ciberdelincuentes a desarrollar sus tácticas para evadir la detección.
Esta evolución incluye la creación de pequeñas aplicaciones de apariencia realista que se centran en temas comunes. Por ejemplo, fitness, criptomonedas, códigos QR y escaneo de PDF. Los ciberdelincuentes usan estas aplicaciones para engañar a los usuarios para que instalen la aplicación maliciosa. Luego, para agregar más legitimidad a las aplicaciones, los ciberdelincuentes crean sitios web que se ajustan al tema de la aplicación para ayudar a aprobar las revisiones de Google.
Además, ThreatFabric observó que estas aplicaciones solo se distribuyen a regiones específicas o en fechas posteriores: Esto para evadir aún más la detección por parte de Google y los proveedores de antivirus.
Acciones de Google
Esta vigilancia de Google ha obligado a los actores a encontrar formas de reducir significativamente la huella de las aplicaciones instaladoras. Además de mejorar los esfuerzos de código de malware, las campañas de distribución de Google Play también son más refinadas que las campañas anteriores, según explican los investigadores de ThreatFabric en su nuevo informe.
Por ejemplo, mediante la introducción de pequeñas actualizaciones de códigos maliciosos cuidadosamente planificadas durante un período más largo en Google Play. Asimismo, un backend de comando y control para que coincida completamente con el tema de la aplicación maliciosa (por ejemplo, un sitio web de Fitness que funcione para una aplicación centrada en el entrenamiento).
Sin embargo, una vez instaladas estas aplicaciones “maliciosas”, se comunican silenciosamente con el servidor del ciberdelincuente para recibir comandos. Cuando está lista para distribuir el troyano bancario, el servidor del ciberdelincuente le indicará a la aplicación instalada que realice una “actualización” falsa. Esta falsa actualización “libera” y ejecuta el malware en el dispositivo Android.
16 aplicaciones infectaron 300,000 dispositivos
Desde julio de 2021, ThreatFabric identificó varias aplicaciones falsas que ejecutaban cuatro troyanos bancarios diferentes llamados ‘Alien’, ‘Hydra’, ‘Ermac’ y ‘Anatsa’. Estos troyanos fueron instalados a través de dieciséis aplicaciones diferentes.
Las aplicaciones “instaladoras” que se sabe que se utilizaron durante estas campañas de distribución de malware son las siguientes:
- Two Factor Authenticator
- Protection Guard
- QR CreatorScanner
- Master Scanner
- QR Scanner 2021
- PDF Document Scanner
- QR Scanner
- PDF Document Scanner – Scan to PDF
- PDF Document Scanner Free
- CryptoTracker
- Gym and Fitness Trainer
Otras aplicaciones maliciosas instaladas por las aplicaciones anteriores y sus troyanos bancarios asociados son:
- Master Scanner Live (Troyano Alien)
- Gym and Fitness Trainer (Troyano Alien)
- PDF AI : TEXT RECOGNIZER (Troyano Anatsa)
- QR CreatorScanner (Troyano Hydra)
- QR CreatorScanner (Troyano Ermac)
Durante estos cuatro meses de actividad maliciosa, ThreatFrabric descubrió que las aplicaciones maliciosas “instaladoras” se instalaron 300,000 veces. Asimismo, algunas aplicaciones individuales se instalaron más de 50,000 veces.
La cantidad de bancos, aplicaciones de transferencia de dinero, intercambios de criptomonedas, billeteras de criptomonedas y servicios de correo es impresionante, con aproximadamente 537 sitios en línea y aplicaciones móviles dirigidas al robo de credenciales.
Las organizaciones más atacadas son Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask, entre otras.
Desde entonces, Google ha eliminado todas estas aplicaciones maliciosas de la Play Store y también debes eliminarlas inmediatamente de tu dispositivo Android si tienes alguna de ellas instalada.
Si has instalado alguna de las aplicaciones anteriores, debes eliminarlas inmediatamente de tu dispositivo Android.
Además, debido a las técnicas en evolución utilizadas por los desarrolladores de malware de Android, hay que ser proactivos. Los usuarios deben prestar más atención a los permisos solicitados por las aplicaciones y bloquear la instalación si parecen demasiado amplios.