Phony es una aplicación Flash Player falsa dirigida a dispositivos móviles Android está atrayendo a las víctimas para descargar e instalar malware bancario
Investigadores de Fortinet dijeron el martes los falsos Flash Player fuerón vistos el 21 de octubre. Si bien no se encuentra disponible a través de la aplicación Google Play Store, no estába claro cómo se distribuida"Este malware bancario puede robar credenciales de acceso de 94 diferentes aplicaciones de banca móvil. Debido a su capacidad de interceptar las comunicaciones SMS, el malware también es capaz de eludir la autenticación de dos factores basada en SMS ", segun el analista de seguridad Kai Lu de Fortinet.
De acuerdo con Fortinet, el malware se está extendiendo en los Estados Unidos, Alemania, Francia, Australia, Turquía, Polonia y Austria. Cuando está instalado, crea un icono en la pantalla del iniciador de aplicaciones del dispositivo Android. De acuerdo con Kai Lu, cuando un usuario inicia el falso Flash Player ", el usuario es engañado para la concesión de derechos de administrador dispositivo para la aplicación a través de una falsa Google Play Service" (abajo). Los atacantes son capaces de estafar a los usuarios para activar el malware a través de una falsa pantalla Play servicio de Google que es en realidad una superposición de pantalla.
Si el usuario decide cancelar la descarga, la ventana se cierra para volver a aparecer de nuevo. La única manera para que la superposición desaparece es elegir "Activate" de las opciones del menú. Si lo hace, concede derechos de administrador dispositivo completos para el malware. A continuación, en el icono de Flash Player está oculta y luego el malware se mantiene activo en el fondo del dispositivo, dijo Fortinet.
Una vez dados los derechos administrativos, la aplicación no puede ser fácilmente desinstalado del dispositivo, Lu escribe. Peor aún, el malware se ha dado permiso para enviar y recibir mensajes de texto. Este acceso, señala Lu, es lo que permite al atacante evadir mayo de sistemas de autenticación de dos factores.
"Una vez instalado el software malicioso que recopila información sobre el dispositivo, lo envía a su servidor de C & C, y espera a que el servidor responda con nuevos comandos para llevar a cabo", escribe Lu. Los permisos concedidos a los atacantes que controlan el malware incluyen la capacidad de componer, editar, leer, enviar y recibir mensajes de texto a cualquier número de otro modo. Otros permisos incluyen modificar el contenido en el teléfono, cambiar las configuraciones de conectividad Wi-Fi, lo que impide que el teléfono entre en modo de suspensión y la capacidad de restablecer el dispositivo a su configuración de fábrica.
Cuando una entidad bancaria específica, la comunicación o la aplicación de medios de comunicación social se pone en marcha por un usuario, el programa malicioso muestra una superposición de pantalla por encima de la aplicación (por debajo). Esta acción fuerza a una víctima de interactuar con el malware, ya que los usuarios no pueden utilizar la aplicación deseada hasta la introducción de datos de tarjetas de crédito.
Tras una inspección más del malware, los atacantes incitan a las víctimas a introducir su número de tarjeta de crédito y son capaces de verificar las tarjetas de crédito válidos a través de la comunicación con el servidor de comando y control.
"Este programa malicioso implementa múltiples funcionalidades malicioso en una sola aplicación y saca el máximo partido de una infección exitosa. El atacante puede controlar la lista de aplicaciones legítimas para ser dirigido a través de comandos de C & C, y también es capaz de enviar e interceptar mensajes SMS, cargar mensajes SMS a su servidor de C & C, restablecer el dispositivo a la configuración de fábrica ", escribió Lu.
La eliminación del malware es posible mediante la desactivación de los derechos de administrador de la falsa versión de Flash Player a través de Preferencias->Seguridad->Dispositivos administradores->Google Play Service->Desactivar y desinstalar "Flash Player.
En algunos casos, debido a que el malware se crea en repetidas ocasiones una superposición de pantalla para solicitar derechos de administrador de dispositivos, "los usuarios tendrán que desinstalar el malware a través de la depuración Puente Android (BAD) mediante el comando 'desinstalación ADB [nombre de paquete]'", según Lu.
El interés por el malware superposición comenzó a elevarse, de acuerdo con X-Force, después de que el código de malware Bot GM se filtró en Internet en febrero. Desde entonces, los piratas informáticos volvió a trabajar el código de filtrado y relanzado una nueva variante Bot GM asignarle un precio a un mucho más alto $15.000, en comparación con un precio promedio de $5,000 por GM Bot hace seis meses.
En su informe de abril, X-Force informó que la subida de los precios provocó una guerra de precios entre los vendedores de software malicioso superposición similar que también dirigen los dispositivos Android. El precio de estos van desde $3.000 a $6.000 y también incluye opciones de software malicioso-as-a-service.
Fecha actualización el 2021-11-2. Fecha publicación el 2016-11-2. Categoría: Malware. Autor: Oscar olg Mapa del sitio