Detectan alrededor de 30 mil descargas.
Haciéndose pasar por complemento para los dispositivos móviles, limpiadores, administradores de batería o apps de horóscopo, aplicaciones maliciosas subidas por diferentes desarrolladores a la tienda de Google Play son capaces de interceptar y redirigir mensajes de texto para evadir sistemas de doble factor de autenticación con base en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en los equipos comprometidos.
Entre agosto y octubre, los especialistas de la firma de seguridad ESET descubrieron 29 troyanos bancarios en la tienda oficial de Android que son controlados de forma remota para afectar de manera dinámica cualquier aplicación que encuentren en el dispositivo de la víctima mediante formularios de phishing personalizados.
«Estas aplicaciones maliciosas fueron subidas en su mayoría bajo el nombre de diferentes desarrolladores, pero las similitudes en el código y un mismo servidor C&C sugieren que son obra de un solo atacante o grupo».
Al respecto, Camilo Gutiérrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica refirió que a diferencia de otras aplicaciones maliciosas que se enfocan solamente en intentar suplantar la identidad de instituciones financieras legítimas y mostrar pantallas con falsas instancias de registro, estas apps analizadas son malware bancario sofisticado para móviles con funcionalidades complejas y un fuerte enfoque en la sigilosidad.
Una vez ejecutadas, las aplicaciones pueden o bien mostrar un mensaje de error en el que afirman que han sido removidas debido a una incompatibilidad con el dispositivo de la víctima y luego proceden a esconderse de la vista del usuario, o la otra posibilidad es que ofrezcan la función que prometían como puede ser mostrar el horóscopo.
«La principal función maliciosa está escondida en un payload cifrado ubicado en los assets de cada app. La funcionalidad del payload es la de suplantar aplicaciones bancarias instaladas en el dispositivo de la víctima, interceptar y enviar mensajes SMS, y descargar e instalar aplicaciones adicionales elegidas por el operador».
De manera dinámica, el malware puede suplantar la identidad de cualquier aplicación instalada en el dispositivo de la víctima, superponiéndose a la aplicación legítima con falsos formularios una vez que la app legítima es ejecutada, dándole así a la víctima muy pocas oportunidades de notar que hay algo sospechoso.
Si bien las 29 aplicaciones maliciosas fueron removidas de la tienda oficial de Android luego de que los investigadores de ESET notificaran a Google de su naturaleza maligna, antes de ser eliminadas de la tienda, las apps llegaron a ser instaladas por aproximadamente 30 mil usuarios.
“Este particular troyano bancario no emplea trucos avanzados para asegurar su persistencia en los dispositivos afectados. Por lo tanto, si se tienen sospechas de haber instalado cualquiera de estas apps, simplemente es necesario desinstalarlas ingresando en la sección Ajustes > Administración de aplicaciones / Apps, revisar la cuenta bancaria lo antes posible, así como transacciones sospechosas y considerar modificar la contraseña del sistema de banca online o el código PIN».
Para evitar ser víctima de este malware bancario ESET recomienda:
*Solo descargar apps de Google Play. Si bien esto no asegura que la app no es maliciosa, este comportamiento maligno es más común en tiendas de terceras partes, donde difícilmente se eliminen por más que sean descubiertas. La diferencia con Google Play es que se eliminan rápidamente cuando son reportadas.
*Asegurarse de revisar el número de descargas, la valoración y los comentarios existentes sobre las aplicaciones antes de descargarla de Google Play.
*Prestar atención de cuáles son los permisos que se otorga a las apps que se instalan.
*Mantener el dispositivo Android actualizado y utilizar una solución de seguridad para móviles que sea confiable.
C$T-GM