Una nueva forma de malware troyano bancario para Android se dirige a clientes de 56 bancos europeos diferentes y ha sido descargada por más de 50.000 usuarios en el espacio de unas pocas semanas.
Detallado por los investigadores de seguridad cibernética de ThreatFabric, que lo llamaron ‘Xenomorph’ debido a los enlaces a otro troyano llamado Alien, este malware apareció por primera vez este mes. El malware está diseñado para robar nombres de usuario y contraseñas para acceder a cuentas bancarias y otra información personal confidencial.
Al igual que muchas otras formas de malware de Android, el malware aparentemente ha logrado eludir las protecciones y llega a los teléfonos inteligentes a través de aplicaciones en Google Play Store.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Una de las aplicaciones identificadas fue una aplicación más limpia que prometía ayudar a acelerar un dispositivo eliminando el desorden no utilizado: la aplicación se ha descargado más de 50 000 veces.
La aplicación parecía ofrecer la funcionalidad que anuncia, pero también ofrece el malware, que roba nombres de usuario y contraseñas con la ayuda de superposiciones falsas que se activan cuando la víctima intenta iniciar sesión en aplicaciones bancarias. La superposición se muestra en lugar de la pantalla de inicio de sesión real, lo que significa que cualquier información ingresada se envía a los atacantes.
Los bancos en España, Portugal, Italia y Bélgica se encuentran actualmente entre los objetivos. El malware también está equipado con superposiciones que pueden robar contraseñas para cuentas de correo electrónico y billeteras de criptomonedas.
El malware también puede interceptar SMS y notificaciones de aplicaciones para ayudar a robar la autenticación necesaria para eludir cualquier autenticación multifactor que se haya aplicado.
ThreatFabric ha vinculado a Xenomorph con otro malware troyano para Android, Alien, debido a las similitudes de diseño. Las dos formas de malware usan la misma página de recursos HTML para engañar a las víctimas para que concedan privilegios de servicios de accesibilidad, de los que abusan para ayudar a tomar el control del dispositivo.
Además de esto, ambos tienen un estilo similar de seguimiento de estado mediante el uso del archivo ‘SharedPreferences’, y en ambos casos, el archivo recibió el mismo nombre, ringO, que es el nombre del presunto desarrollador original de Extraterrestre.
Los investigadores también señalan que ambas formas de malware comparten las mismas cadenas de registro «peculiares», algunas de las cuales se remontan a Cerberus, el precursor de Alien.
Los investigadores señalan que el malware aún parece estar en las primeras etapas de desarrollo, ya que muchos comandos presentes en el código aún no están activos. También existe la posibilidad de que el malware se dirija a bancos en una gama más amplia de países.
«Actualmente, el conjunto de capacidades de Alien es mucho más grande que el de Xenomorph. Sin embargo, teniendo en cuenta que este nuevo malware aún es muy joven y adopta un sólido diseño modular, no es difícil predecir las nuevas funciones que llegarán en un futuro cercano». dijeron los investigadores.
Un portavoz de ThreatFabric le dijo a MarketingyPublicidad.es que habían señalado la aplicación maliciosa a Google para que la eliminara de Play Store. MarketingyPublicidad.es se puso en contacto con Google sobre la aplicación maliciosa y se eliminó poco después.
«La seguridad de los usuarios es nuestra principal prioridad, y si descubrimos una aplicación que viola nuestras políticas, tomamos medidas», dijo un portavoz de Google a MarketingyPublicidad.es.