Se ha descubierto una nueva campaña de distribución de diferentes troyanos bancarios en en la Play Store de Google, cuyos objetivos son la obtención de credenciales de acceso a las cuentas personales de las victimas y vaciarlas en diferentes transacciones hasta el destino final.
Generalmente, los troyanos bancarios para Android intentan robar las credenciales de los usuarios cuando inician sesión en una aplicación de banca o de criptomonedas. El robo de credenciales suele realizarse mediante la superposición de formularios de acceso bancario falsos que se muestran sobre las pantallas de acceso de las aplicaciones legítimas.
Las credenciales robadas se envían de vuelta a los servidores controlados por el atacante, donde se recogen para ser vendidas a otros actores de la amenaza o se utilizan para robar criptodivisas y dinero de las cuentas de las víctimas.
En un nuevo informe de ThreatFabric, los investigadores explican cómo han descubierto cuatro campañas diferentes de malware que distribuyen troyanos bancarios en Google Play Store. Aunque los actores de amenazas que se infiltran en Google Play Store con troyanos bancarios para Android no son nada nuevo, los recientes cambios en las políticas de Google y el aumento de la vigilancia han obligado a los actores de amenazas a evolucionar sus tácticas para evadir la detección.
Esta evolución incluye la creación de pequeñas aplicaciones de aspecto realista que se centran en temas comunes como el fitness, las criptomonedas, los códigos QR y el escaneo de PDF para engañar a los usuarios y hacer que instalen la aplicación. Luego, para añadir más legitimidad a las aplicaciones, los actores de la amenaza crean sitios web que se ajustan al tema de la aplicación para ayudar a pasar las revisiones de Google. Además, ThreatFabric ha visto que estas aplicaciones sólo se distribuyen en regiones específicas o en fechas posteriores para evadir aún más la detección de Google y de los proveedores de antivirus.
Las aplicaciones «dropper» que se sabe que se utilizan durante estas campañas de distribución de malware son las siguientes:
- Two Factor Authenticator.
- Protection Guard.
- QR CreatorScanner.
- Master Scanner.
- QR Scanner 2021.
- QR Scanner.
- PDF Document Scanner – Scan to PDF.
- PDF Document Scanner.
- PDF Document Scanner Free.
- CryptoTracker.
- Gym and Fitness Trainer.
Otras aplicaciones maliciosas que se han visto instaladas por los droppers anteriores y sus troyanos bancarios asociados son:
- Master Scanner Live (Alien trojan)
- Gym and Fitness Trainer (Alien trojan)
- PDF AI : TEXT RECOGNIZER (Anatsa trojan)
- QR CreatorScanner (Hydra trojan)
- QR CreatorScanner (Ermac trojan)
Durante estos cuatro meses de investigación con respecto a las campañas maliciosas, ThreatFrabric descubrió que los droppers se instalaron 300.000 veces, con algunos droppers individuales instalados más de 50.000 veces. El número de bancos, aplicaciones de transferencia de dinero, intercambios de criptodivisas, carteras de criptodivisas y servicios de correo es impresionante, con aproximadamente 537 sitios en línea y aplicaciones móviles atacados para el robo de credenciales.
Entre las organizaciones atacadas se encuentran Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet y MetaMask, entre otras.
Desde entonces, Google ha eliminado todas estas aplicaciones maliciosas de la Play Store y tú también deberías eliminarlas inmediatamente de tu dispositivo Android si tienes alguna de ellas instalada.
Si has instalado alguna de las aplicaciones mencionadas, deberías eliminarla inmediatamente de tu dispositivo Android. Además, debido a la evolución de las técnicas utilizadas por los desarrolladores de malware para Android, los usuarios deben prestar más atención a los permisos solicitados por las aplicaciones y bloquear la instalación si parecen demasiado amplios.
Más Información
https://threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
