Malware bancario de Android infecta a 300.000 usuarios de Google Play

Las campañas de malware que distribuyen troyanos de Android que roban credenciales bancarias en línea han infectado casi 300,000 dispositivos a través de aplicaciones maliciosas enviadas a través de la Play Store de Google.

Los troyanos bancarios de Android entregados en dispositivos comprometidos intentan robar las credenciales de los usuarios cuando inician sesión en una banca en línea o aplicaciones de criptomonedas. El robo de credenciales se realiza comúnmente utilizando superposiciones de formularios de inicio de sesión bancarios falsos que se muestran en la parte superior de las pantallas de inicio de sesión de las aplicaciones legítimas.

Las credenciales robadas se envían de vuelta a los servidores del atacante, donde se recopilan para venderlas a otros actores de amenazas o para robar criptomonedas y dinero de las cuentas de las víctimas.

Evolución de tácticas para evadir la detección

En un nuevo informe de ThreatFabric, los investigadores explican cómo descubrieron cuatro campañas de cuentagotas de malware diferentes que distribuían troyanos bancarios en Google Play Store.

Si bien los actores de amenazas que se infiltran en Google Play Store con troyanos bancarios de Android no son nada nuevo, los cambios recientes en las políticas de Google y el aumento de la vigilancia han obligado a los actores de amenazas a desarrollar sus tácticas para evadir la detección.

Esta evolución incluye la creación de pequeñas aplicaciones de apariencia realista que se centran en temas comunes como fitness, criptomonedas, códigos QR y escaneo de PDF para engañar a los usuarios para que instalen la aplicación. Luego, para agregar más legitimidad a las aplicaciones, los actores de amenazas crean sitios web que se ajustan al tema de la aplicación para ayudar a aprobar las revisiones de Google.

Además, ThreatFabric ha visto que estas aplicaciones solo se distribuyen a regiones específicas o en fechas posteriores para evadir aún más la detección por parte de Google y los proveedores de antivirus.

"Esta vigilancia de Google ha obligado a los actores a encontrar formas de reducir significativamente la huella de las aplicaciones de cuentagotas. Además de mejorar los esfuerzos de código de malware, las campañas de distribución de Google Play también son más refinadas que las campañas anteriores", explican los investigadores de ThreatFabric en su nuevo informe .

"Por ejemplo, mediante la introducción de pequeñas actualizaciones de códigos maliciosos cuidadosamente planificadas durante un período más largo en Google Play, así como con un backend C2 de cuentagotas para que coincida completamente con el tema de la aplicación de cuentagotas (por ejemplo, un sitio web de Fitness que funcione para una aplicación centrada en el entrenamiento) . "

Sin embargo, una vez instaladas estas aplicaciones de "cuentagotas", se comunicarán silenciosamente con el servidor del actor de amenazas para recibir comandos. Cuando esté listo para distribuir el troyano bancario, el servidor del actor de amenazas le indicará a la aplicación instalada que realice una "actualización" falsa que "suelta" y lanza el malware en el dispositivo Android.



16 aplicaciones infectan 300.000 dispositivos

Desde julio de 2021, ThreatFabric tiene estas aplicaciones falsas que lanzan cuatro troyanos bancarios diferentes llamados 'Alien', 'Hydra', 'Ermac' y 'Anatsa' a través de dieciséis aplicaciones diferentes.


Las aplicaciones de "cuentagotas" que se sabe que se utilizan durante estas campañas de distribución de malware son:

- Autenticador de dos factores
- Guardia de protección
- QR CreatorScanner
- Escáner maestro
- Escáner QR 2021
- Escáner QR
- Escáner de documentos PDF - Escanear a PDF
- Escáner de documentos PDF
- Escáner de documentos PDF gratuito
- CryptoTracker
- Entrenador de gimnasio y fitness


Otras aplicaciones maliciosas instaladas por los cuentagotas anteriores y sus troyanos bancarios asociados son:

- Master Scanner Live ( troyano alienígena )
- Gimnasio y entrenador físico ( troyano alienígena )
- PDF AI: RECONOCIMIENTO DE TEXTO ( troyano Anatsa )
- QR CreatorScanner ( troyano Hydra )
- QR CreatorScanner ( troyano Ermac )

Durante estos cuatro meses de actividad maliciosa, ThreatFrabric descubrió que los goteros se instalaron 300.000 veces y que algunos goteros individuales se instalaron más de 50.000 veces.

La cantidad de bancos, aplicaciones de transferencia de dinero, intercambios de criptomonedas, billeteras de criptomonedas y servicios de correo es impresionante, con aproximadamente 537 sitios en línea y aplicaciones móviles dirigidas al robo de credenciales.

Las organizaciones objetivo incluyen Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask y más.

Desde entonces, Google ha eliminado todas estas aplicaciones maliciosas de Play Store y también debe eliminarlas inmediatamente de su dispositivo Android si tiene alguna de ellas instalada.

Si ha instalado alguna de las aplicaciones anteriores, debe eliminarlas inmediatamente de su dispositivo Android.

Además, debido a las técnicas en evolución utilizadas por los desarrolladores de malware de Android, los usuarios deben prestar más atención a los permisos solicitados por las aplicaciones y bloquear la instalación si parecen demasiado amplios.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta