Si alguna vez pensó que Google finalmente ha limpiado la tienda Google Play de troyanos bancarios, se llevará una gran sorpresa: se han encontrado otras 29 aplicaciones de Android infectadas desde agosto hasta principios de octubre de 2018 en la tienda oficial.
Como descubrió el investigador de malware de ESET, Lukas Stefanko , los troyanos bancarios fueron camuflados como una amplia variedad de aplicaciones de Android, posiblemente para llegar a una audiencia más grande, que abarca múltiples categorías desde aplicaciones de utilidad y horóscopos hasta limpiadores y refuerzos de sistemas.
Las aplicaciones en cuestión hacen un gran esfuerzo para mantenerse lo más sigilosas posible y evitar la detección, a diferencia de las aplicaciones maliciosas descubiertas anteriormente que se hacían pasar por falsas aplicaciones bancarias y utilizaban formas sencillas de suplantación de identidad para tratar de recopilar las credenciales bancarias de sus objetivos.
Según lo informado por Stefanko, las 29 aplicaciones infectadas fueron eliminadas por Google de la tienda Play después de que se notificó al gigante de búsqueda, aunque los actores detrás de los troyanos bancarios que se hacían pasar por aplicaciones legítimas podían hacer que se instalaran alrededor de 30,000 usuarios.
A diferencia de las aplicaciones bancarias falsas que mencionamos anteriormente, los troyanos bancarios que Stefanko descubrió esta vez son mucho más complejos y utilizan un enfoque más sofisticado para robar información bancaria de sus víctimas.
Además, son capaces de hacerse pasar por cualquier aplicación instalada en el dispositivo Android comprometido mediante el uso del código HTML de la aplicación que desean imitar para crear superposiciones con formularios diseñados para robar y exfiltrar credenciales.
Los 29 troyanos bancarios pudieron suplantar perfectamente cualquier aplicación en el dispositivo comprometido utilizando superposiciones
Esta no es la primera vez que se observa que los troyanos bancarios utilizan la técnica de phishing de superposición de formularios, ya que Lukas Stefanko también descubrió a un troyano bancario que se hizo pasar por una aplicación de grabación de llamadas telefónicas legítimas hace un mes, que usó superposiciones para evitar SMS 2FA y robar información bancaria.
Las aplicaciones malintencionadas utilizaban una rutina de infección de múltiples etapas, siendo la primera etapa un cuentagotas diseñado para comprobar si existen cajones de arena y emuladores y descargar la carga útil de malware cuando se está seguro de que se está ejecutando en un dispositivo Android real.
Además de capturar información bancaria y filtrarla a los actores que los controlaban, los troyanos bancarios camuflados también fueron capaces de "interceptar y redirigir mensajes de texto para evitar la autenticación de dos factores basada en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en El dispositivo comprometido ", según Stefanko.
Además, "estas aplicaciones maliciosas se cargaron bajo nombres y formas de desarrolladores en su mayoría diferentes, pero las similitudes de código y un servidor de C&C compartido sugieren que las aplicaciones son el trabajo de un solo atacante o grupo".
El investigador también enumeró una serie de medidas de mitigación para asegurarse de que su dispositivo no se vea afectado por un troyano bancario que aconseje a los usuarios de Android que descarguen sus aplicaciones solo desde la tienda Google Play , verifique toda la información sobre las entradas de Google Play de las aplicaciones, y Preste especial atención a los permisos que solicitan las aplicaciones al instalarlas.
Fecha actualización el 2021-10-25. Fecha publicación el 2018-10-25. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: softpedia