Blog

Una nueva campaña de Troyano bancario ha infectado a más de 300.000 usuarios de la Google Play Store

Se ha descubierto una nueva campaña de distribución de diferentes troyanos bancarios en en la Play Store de Google, cuyos objetivos son la obtención de credenciales de acceso a las cuentas personales de las victimas y vaciarlas en diferentes transacciones hasta el destino final.

Generalmente, los troyanos bancarios para Android intentan robar las credenciales de los usuarios cuando inician sesión en una aplicación de banca o de criptomonedas. El robo de credenciales suele realizarse mediante la superposición de formularios de acceso bancario falsos que se muestran sobre las pantallas de acceso de las aplicaciones legítimas.

Las credenciales robadas se envían de vuelta a los servidores controlados por el atacante, donde se recogen para ser vendidas a otros actores de la amenaza o se utilizan para robar criptodivisas y dinero de las cuentas de las víctimas.

En un nuevo informe de ThreatFabric, los investigadores explican cómo han descubierto cuatro campañas diferentes de malware que distribuyen troyanos bancarios en Google Play Store. Aunque los actores de amenazas que se infiltran en Google Play Store con troyanos bancarios para Android no son nada nuevo, los recientes cambios en las políticas de Google y el aumento de la vigilancia han obligado a los actores de amenazas a evolucionar sus tácticas para evadir la detección.

Esta evolución incluye la creación de pequeñas aplicaciones de aspecto realista que se centran en temas comunes como el fitness, las criptomonedas, los códigos QR y el escaneo de PDF para engañar a los usuarios y hacer que instalen la aplicación. Luego, para añadir más legitimidad a las aplicaciones, los actores de la amenaza crean sitios web que se ajustan al tema de la aplicación para ayudar a pasar las revisiones de Google. Además, ThreatFabric ha visto que estas aplicaciones sólo se distribuyen en regiones específicas o en fechas posteriores para evadir aún más la detección de Google y de los proveedores de antivirus.

Las aplicaciones «dropper» que se sabe que se utilizan durante estas campañas de distribución de malware son las siguientes:

  • Two Factor Authenticator.
  • Protection Guard.
  • QR CreatorScanner.
  • Master Scanner.
  • QR Scanner 2021.
  • QR Scanner.
  • PDF Document Scanner – Scan to PDF.
  • PDF Document Scanner.
  • PDF Document Scanner Free.
  • CryptoTracker.
  • Gym and Fitness Trainer.

Otras aplicaciones maliciosas que se han visto instaladas por los droppers anteriores y sus troyanos bancarios asociados son:

  • Master Scanner Live (Alien trojan)
  • Gym and Fitness Trainer (Alien trojan)
  • PDF AI : TEXT RECOGNIZER (Anatsa trojan)
  • QR CreatorScanner (Hydra trojan)
  • QR CreatorScanner (Ermac trojan)

Durante estos cuatro meses de investigación con respecto a las campañas maliciosas, ThreatFrabric descubrió que los droppers se instalaron 300.000 veces, con algunos droppers individuales instalados más de 50.000 veces. El número de bancos, aplicaciones de transferencia de dinero, intercambios de criptodivisas, carteras de criptodivisas y servicios de correo es impresionante, con aproximadamente 537 sitios en línea y aplicaciones móviles atacados para el robo de credenciales.

Entre las organizaciones atacadas se encuentran Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet y MetaMask, entre otras.

Desde entonces, Google ha eliminado todas estas aplicaciones maliciosas de la Play Store y tú también deberías eliminarlas inmediatamente de tu dispositivo Android si tienes alguna de ellas instalada.

Si has instalado alguna de las aplicaciones mencionadas, deberías eliminarla inmediatamente de tu dispositivo Android. Además, debido a la evolución de las técnicas utilizadas por los desarrolladores de malware para Android, los usuarios deben prestar más atención a los permisos solicitados por las aplicaciones y bloquear la instalación si parecen demasiado amplios.

Más Información

https://threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required