Pese a los esfuerzos de Google por ir introduciendo actualizaciones cada vez más restrictivas frente al malware, lo cierto es que este sigue en auge. Hace solo una semana conocíamos 16 aplicaciones de Google Play infectadas, pero no fueron tampoco las primeras. Ahora hemos conocido dos nuevos virus que pretenden robar tus datos bancarios.
Lo peor de estos, así como de los otros, es que son troyanos ocultos en apps de Google Play, calificados como droppers y que acumulan más de 130 mil descargas. No son tantas como los millones que veíamos la semana pasada, pero no por ello dejan de ser reseñables. Y más viendo sus peligrosos objetivos.
Sharkbot va directo a por los credenciales bancarios
Sharkbot es el nombre que recibe el peligroso troyano bancario que descubrieron a principios de octubre los expertos de Threat Fabric. La forma en que se distribuye este malware no es otra que mediante aplicaciones aparentemente de confianza como «Codice Fiscale 2022» o «File Manager Small Lite». La primera está orientada a usuarios italianos y acumula más de 10.000 descargas.
El ‘truco’ de estas apps para colar el troyano se encuentra cuando ya se tiene instalada y se procede a usarla, momento en que esta pide descargar una actualización, la cual se lleva a cabo mediante servidores externos que no son de Google. Y ahí queda la trampa, ya que no se trata de una actualización real, si no de la descarga del malware.
Cuando se producen descargas de este tipo ajenas a Google, el sistema requiere que las apps soliciten el llamado «REQUESTINSTALLPACKAGES», algo que en versiones antiguas de Android puede llegar a pasar inadvertido. Sin embargo, en las últimas versiones se alerta de la peligrosidad de este permiso, haciendo al final que sea más sencillo para la víctima darse cuenta de que algo no va bien y dificultando por ello el objetivo de los ciberdelincuentes.
Si alguna vez te encuentras en una tesitura idéntica, desconfía, ya que en el caso de Codice Fiscale 2022 llegan incluso a emular una presunta web de Google Play para dar la falsa sensación de que es una descarga oficial de la tienda. Y no, no lo es.
Los métodos que usa Sharkbot para robar los datos a las víctimas consisten básicamente en hacerse con los clásicos permisos que son clave para abrir la puerta al malware en Android. Logran crear páginas de inicio de sesión bancarias falsas, lectura de SMS para burlar el sistema de autenticación de doble factor, acceso a las contraseñas y robo de cookies.
Como ya indicábamos, este troyano está ahora enfocado en usuarios italianos. Sin embargo, no sería una sorpresa encontrar este o cualquier otra variante en España y otros países. Véase como ejemplo reciente el caso del malware BRATA, enviado a móviles Android mediante SMS, con capacidades aún mayores para controlar el teléfono, pero con fines idénticos en lo que a robo de cuentas bancarias se refiere.
Vultur es su primo hermano y vigila todo lo que hacemos
Por otro lado nos encontramos a Vultur, otro de los malware descubiertos por Threat Fabric. En su caso, pretende robar el acceso a todo tipo de cuentas, especialmente redes sociales y apps de mensajería. Que se sepa, se esconde en tres apps que acumulan entre sí más de 110.000 descargas («My Finances Tracker», «Zetter Authenticator» y «Recover Audio, Images & Video»).
Estas apps, aunque con distinta apariencia y distinto equipo de desarrollo, al final esconden el mismo problema: Vultur. Y aunque ahora veremos sus diferencias particulares con Sharkbot, lo cierto es que introducen el malware de la misma forma, con una falsa actualización. Y sí, también crean una landing con la que tratar de ofrecer fiabilidad pareciéndose a Google Play.
Una vez que Vultur está ya instalado de forma secreta en el sistema, es capaz de registrar prácticamente todo lo que hacemos con el móvil. Desde los clics y gestos que llevamos a cabo, hasta grabar la pantalla. Y todo ello de forma totalmente oculta sin que en ningún momento aparezca un indicador de que se está ejecutando un registro de nuestras acciones.
Es el método más eficaz de infección, aunque hay pautas de prevención
Desde Threat Fabric afirman que estos métodos siguen siendo los más efectivos para infectar móviles. Las apps como tal no contienen malware y eso les permite entrar en Google Play. El hecho de que la infección se produzca por una acción que realiza el usuario (la descarga de la actualización falsa) tampoco parece ser un problema mayoritario, ya que al ver una interfaz idéntica a la de Google Play se tiende a confiar en ella.
Por ello, la recomendación que se puede hacer para evitar este tipo de infecciones es la de no permitir nunca descargas remotas. Si la interfaz que aparece tiene pinta de ser la de Google Play, es siempre recomendable analizar la URL e incluso introducirla en analizadores de links maliciosos como el de VirusTotal por si estuviese enmascarada.
En caso de dudas, recuerda siempre actualizar directamente desde Google Play. Basta con que accedas a esta app, pulses en tu foto y después vayas a Gestionar apps y dispositivos > Actualizaciones disponibles. En este apartado aparecerán las actualizaciones reales que provengan de la tienda de apps.
Vía | Bleeping Computer
–
La noticia
Tus datos bancarios en peligro. Así son los nuevos malware vistos en apps de Android
fue publicada originalmente en
Xataka Android
por
Álvaro García M.
.