Los ciberdelincuentes han actualizado una aplicación de banca de hace dos años que toma el control del teléfono inteligente de la víctima, vacia su cuenta bancaria, mientras que la persona lucha para recuperar el control de su dispositivo
El ataque original fue descubierta por Trend Micro, llamada Operación Emmental, se ha mejorado para permitir a los actores maliciosos utilizar el SMS para emitir comandos que les permite controlar el teléfono hackeado en tiempo real. Estos comandos incluyen el restablecimiento de contraseñas y bloquear el teléfono. La versión original, después de haber sido instalado, intercepta un SMS entre el teléfono y el banco de la víctima, restablecer el teléfono por lo que su aplicación se dirige a un sitio que emula a un banco, después se instala un generador de señales falsas que ayudó a robar las credenciales de inicio de sesión de banca.
Aunque la nueva versión conserva varios elementos de la original, usando mensajes de spam para con la víctima en la descarga del malware y un generador de símbolos falsa, la nueva vuelta de tuerca es el intercepto de malware textos entrantes, comprueba para ver si son desde el servidor de comando y control y si es así llevar a cabo la orden en tiempo real antes de que la víctima tenga la oportunidad de entender lo que está sucediendo.
Richard Tai, un analista de amenazas móviles de Trend Micro, dijo en un blog de la atacante puede bloquear y desbloquear el teléfono a voluntad, tal vez el bloqueo lo suficiente como para mantener a la persona ocupada, mientras que su cuenta bancaria ha sido hackeada.
"El malware se comunica a las direcciones URL o números de teléfono específico sin el conocimiento o consentimiento del usuario. Dependiendo de la preferencia del atacante, la aplicación maliciosa puede enviar mensajes a estos destinos en tiempo real, a través de SMS, o en un momento posterior a través de una conexión a Internet", segun Tai.
Una vez que el malware está en el teléfono y se activa también se ejecuta una serie de operaciones en segundo plano para los atacantes
- Descargar y analizar el archivo de configuración
- Asegúrese de que las direcciones URL pre-establecido de servidores C & C son utilizables
- Crear línea de comunicación entre el teléfono afectada y un usuario remoto a través del algoritmo Blowfish
- Enviar almacenado SMS
