Malware troyano bancario utiliza Gmail en modo emergente para extender la infección a moviles con Android.
Un grupo de cyberdelincuentes de malware han llegado con un nuevo método de trascender una infección del ordenador del usuario para su movil Android.Descubierto por los investigadores de seguridad de BadCyberLabs, la infección inicial es con el troyano bancario ISFB (también conocido como Gozi2) , mientras que la infección de la segunda etapa es a través de la troyano bancario Marcher Android.
Los investigadores dicen que los usuarios primero se infectan con el troyano ISFB después de abrir un archivo adjunto de correo electrónico que se reciben a través de correo no deseado. La campaña de spam hace pasar por mensajes de correo electrónico desde el Ministerio de Finanzas de Polonia y se extiende un archivo con una doble extensión, como .PDF.EXE.
La apertura de este falso ejecutable instala el troyano ISFB en el ordenador de la víctima, que es su regularidad troyano bancario run-of-the-mill que se basa en una técnica llamada "inyecta web" para insertar contenido adicional dentro de sitios web en vivo.
La mayoría de los sitios web dirigidos por el troyano ISFB son portales de banca, en caso de que los operadores de malware quieran recoger algunas de las credenciales de inicio de sesión del usuario.
Malware utiliza un Gmail falso emergente
Sin embargo, en una reciente variante de esta amenaza, investigadores de BadCyberLabs dijeron que observaron el troyano ISFB inyecta dentro de la ventana de Gmail después de que el usuario ha iniciado sesión.
La inyección web es una ventana emergente simple que pide al usuario su número de teléfono, con el fin de transmitirle una versión de la aplicación Google Authenticator Código, por lo que el usuario podría asegurar su cuenta de Gmail.
Si el usuario cae hay una alta probabilidad que reciba un mensaje SMS en su teléfono, con un enlace corto Goo.gl que apunta a un paquete de aplicaciones de Android (APK archivo) alojada fuera de la tienda de Google Play.
Antes de que fuera derribado, más de 100 usuarios habían recibido y hecho clic en el enlace, según las estadísticas de Google, aunque no es seguro de que todo hubiera instalado la aplicación. Android, por defecto, viene con una configuración que impiden la instalación de aplicaciones desde sitios de terceros, fuera de la Play Store.
En caso de que el usuario no le importaría deshabilitar todos esos parámetros de seguridad para instalar el APK maliciosos, estarían infectados con el malware manifestante , uno de los troyanos bancarios más avanzados conocidos hoy en día.
Objetivos de Troya usuarios polacas y alemanas
En este punto, el troyano ISFB en el escritorio del usuario detectaría una infección exitosa teléfono inteligente, y continua su juego de ingeniería social preguntando a la víctima a la entrada de un código de 6 dígitos que habían recibido a través de la aplicación. Esta etapa se lleva a cabo muy probablemente para tranquilizar a las víctimas que instalaron una aplicación válida, y no el malware.
"Parece que los mecanismos de seguridad implementan los bancos, en particular, la detección WebInject, se convirtió en un obstáculo para los delincuentes que tenían que inventar nuevas formas de forzar a los usuarios a instalar malware móvil", segun los investigadores .
"Si bien la aplicación móvil malicioso no roba datos bancarios (como los que están siendo robados por el que es compañero de escritorio)", los investigadores señalan que "se aprovecha la oportunidad para robar datos de tarjetas de crédito a través de ajustes de aplicaciones en Google Play, Gmail o Paypal aplicaciones."
BadCyberLabs investigadores afirman que la aplicación infectada por el manifestante está preconfigurado para evitar infectar a los usuarios de la antigua Unión Soviética, a excepción de Georgia y los tres países bálticos.
Fecha actualización el 2021-12-9. Fecha publicación el 2016-12-9. Categoría: Malware. Autor: Oscar olg Mapa del sitio