¿Protección a Malwares?
Los autores de malware continúan poniendo a prueba la vigilancia de los usuarios de Android al infiltrar un troyano bancario en Google Play Store. Recientemente analizamos un grupo de 29 troyanos de este tipo que se encontraron en las tiendas oficiales de Android entre agosto y principios de octubre de 2018, disfrazados de aplicaciones de refuerzo de dispositivos, limpiadores, administradores de batería e incluso aplicaciones de horóscopo.
A diferencia de las versiones cada vez más populares de aplicaciones maliciosas que intentan hacerse pasar por instituciones bancarias legítimas al mostrar ventanas de inicio de sesión falsas, estas aplicaciones pertenecen a una categoría más sofisticada de malware con una funcionalidad sofisticada y un mayor enfoque en el sigilo. .
Estos troyanos controlados a distancia pueden atacar dinámicamente cualquier aplicación que encuentren en el dispositivo de la víctima a través de diversas formas de phishing. Además, pueden interceptar y reenviar mensajes de texto para eludir la autenticación de dos factores basada en SMS, interceptar registros de llamadas y descargar e instalar aplicaciones adicionales en dispositivos infectados. Las aplicaciones maliciosas se cargaron con los nombres de varios desarrolladores, pero las similitudes de código y los servidores comunes de C&C sugieren que las aplicaciones son obra de un solo atacante o grupo.
Mientras tanto, las 29 aplicaciones se eliminaron de la tienda oficial de Android después de que ESET y otros investigadores notificaran a Google sobre su naturaleza peligrosa. Sin embargo, en total, casi 30.000 usuarios instalaron las aplicaciones antes de que fueran eliminadas de la tienda.
¿Cómo funcionan las aplicaciones?
Una vez iniciadas, las aplicaciones muestran un error como si se hubieran eliminado debido a una incompatibilidad con el dispositivo de la víctima, después de lo cual se ocultan de los ojos de la víctima o brindan la funcionalidad prometida, como la visualización del horóscopo.
Independientemente de la categoría a la que pertenezca la aplicación, su funcionalidad maliciosa está oculta en una carga útil cifrada en cada una de estas aplicaciones. Esta carga útil está encriptada en base64 y luego encriptada con un cifrado RC4 utilizando una clave codificada. La primera etapa de la actividad del malware es un cuentagotas que busca la presencia de un emulador o sandbox. Si este paso tiene éxito, el malware descifra y carga un cargador y una carga útil que contiene el malware bancario real. Algunas de las aplicaciones analizadas habían pasado por al menos una etapa de estas cargas útiles cifradas.
La función del payload final es suplantar las aplicaciones bancarias instaladas en el dispositivo de la víctima, interceptar y enviar mensajes SMS, descargar e instalar aplicaciones adicionales elegidas por los operadores de malware. La característica más importante es que el malware puede imitar dinámicamente cualquier aplicación instalada en un dispositivo comprometido. Esto se hace obteniendo el código HTML de una aplicación determinada y usándolo para mostrar formularios falsos al iniciar aplicaciones legítimas, dando a la víctima muy pocas posibilidades de notar que hay algo podrido en el medio.
¿Cómo mantenerse a salvo?
Afortunadamente, estos troyanos bancarios en particular (la lista completa está disponible en la sección IoC) no utilizan ningún truco avanzado para garantizar su persistencia en los dispositivos afectados. Entonces, si sospecha que tiene una de estas aplicaciones instaladas, puede desinstalarla en Configuración> (General)> Administrador de aplicaciones/Aplicaciones.
También le recomendamos que verifique sus cuentas bancarias en busca de transacciones sospechosas y considere cambiar su contraseña/PIN de banca en línea.
Para evitar ser víctima de este malware bancario, recomendamos:
Descargue aplicaciones solo de Google Play; esto no garantiza que la aplicación sea inofensiva, pero este tipo de malware se encuentra mucho más comúnmente en tiendas de terceros, donde rara vez se elimina inmediatamente después de ser descubierto.
Asegúrese de verificar la cantidad de descargas, las calificaciones de las aplicaciones y revisar el contenido antes de descargar aplicaciones de Google Play.
Presta atención a los permisos que concedes a las apps que instalas
Mantenga su dispositivo Android actualizado y use una solución de seguridad móvil confiable; Los productos ESET detectan y bloquean amenazas como Android/TrojanDropper.Agent.CIQ.