wmtech logo

Aplicaciones maliciosas de Android se hacen pasar por Google, Instagram y WhatsApp para robar credenciales

Luis Quiles
Luis Quiles
aplicaciones
Ciber crimen, Fraude Bancario

Se ha observado que aplicaciones maliciosas de Android se hacen pasar por Google, Instagram, Snapchat, WhatsApp y X (anteriormente Twitter) para robar las credenciales de los usuarios de dispositivos comprometidos.

«Este malware utiliza iconos de aplicaciones famosas de Android para engañar a los usuarios y hacer que las víctimas instalen la aplicación maliciosa en sus dispositivos,» dijo el equipo de investigación de amenazas de SonicWall Capture Labs en un informe reciente.

El vector de distribución de la campaña actualmente no está claro. Sin embargo, una vez que la aplicación está instalada en los teléfonos de los usuarios, solicita permisos para los servicios de accesibilidad y la API de administrador de dispositivos, una función ahora obsoleta que proporciona características de administración de dispositivos a nivel del sistema.

Obtener estos permisos permite a la aplicación maliciosa tomar el control del dispositivo, lo que le permite realizar acciones arbitrarias que van desde el robo de datos hasta la implementación de malware sin el conocimiento de las víctimas.

El malware está diseñado para establecer conexiones con un servidor de comando y control (C2) para recibir comandos para su ejecución, lo que le permite acceder a listas de contactos, mensajes SMS, registros de llamadas, la lista de aplicaciones instaladas; enviar mensajes SMS; abrir páginas de phishing en el navegador web, y activar la linterna de la cámara.

Las URLs de phishing imitan las páginas de inicio de servicios conocidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress y Yahoo.

Este desarrollo se produce mientras Cyfirma y Symantec, propiedad de Broadcom, advirtieron sobre una campaña de ingeniería social que utiliza WhatsApp como vector de entrega para propagar un nuevo malware de Android haciéndose pasar por una aplicación relacionada con la defensa.

«Tras una entrega exitosa, la aplicación se instalaría bajo la apariencia de una aplicación de Contactos,» dijo Symantec. «Al ejecutarse, la aplicación solicitaría permisos para SMS, Contactos, Almacenamiento y Teléfono y, posteriormente, se eliminaría de la vista.»

Esto sigue al descubrimiento de campañas de malware que distribuyen troyanos bancarios de Android como Coper, que son capaces de recolectar información sensible y mostrar superposiciones de ventanas falsas, engañando a los usuarios para que entreguen sus credenciales sin saberlo.

insta

La semana pasada, el Centro Nacional de Ciberseguridad de Finlandia (NCSC-FI) reveló que se están utilizando mensajes de smishing para dirigir a los usuarios a malware de Android que roba datos bancarios.

La cadena de ataque aprovecha una técnica llamada entrega de ataque orientada por teléfono (TOAD), en la que los mensajes SMS instan a los destinatarios a llamar a un número en relación con una reclamación de cobro de deudas.

Una vez realizada la llamada, el estafador en el otro extremo informa a la víctima que el mensaje es fraudulento y que debe instalar una aplicación antivirus en su teléfono para protección.

También instruyen al llamador a hacer clic en un enlace enviado en un segundo mensaje de texto para instalar el supuesto software de seguridad, que en realidad es un malware diseñado para robar credenciales de cuentas bancarias en línea y, en última instancia, realizar transferencias de fondos no autorizadas.

Aunque el NCSC-FI no identificó la cepa exacta del malware de Android utilizado en el ataque, se sospecha que es Vultr, descrito por el Grupo NCC a principios del mes pasado como utilizando un proceso prácticamente idéntico para infiltrarse en los dispositivos.

En los últimos meses, también se ha detectado en la naturaleza malware basado en Android, como Tambir y Dwphon, con diversas características de recopilación de datos del dispositivo, siendo este último dirigido a teléfonos móviles de fabricantes chinos y destinado principalmente al mercado ruso.

«Dwphon viene como un componente de la aplicación de actualización del sistema y exhibe muchas características del malware preinstalado en Android,» dijo Kaspersky.

«La ruta exacta de la infección no está clara, pero se asume que la aplicación infectada fue incorporada en el firmware como resultado de un posible ataque a la cadena de suministro.»

Los datos de telemetría analizados por la firma de ciberseguridad rusa muestran que el número de usuarios de Android atacados por malware bancario aumentó un 32% en comparación con el año anterior, pasando de 57,219 a 75,521. La mayoría de las infecciones se han reportado en Turquía, Arabia Saudita, España, Suiza e India.

«Aunque el número de usuarios afectados por malware bancario en PC sigue disminuyendo, […] el año 2023 vio un aumento significativo en el número de usuarios que encontraron troyanos bancarios móviles,» señaló Kaspersky.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.