- Cuatro campañas de troyanos bancarios para Android se dirigen a cientos de aplicaciones sociales y financieras
- El malware oculta íconos, elimina bloques y superpone pantallas de inicio de sesión bancarias falsas.
- La transmisión de pantalla en vivo permite a los atacantes monitorear la actividad y capturar los pasos de autenticación
Los investigadores de seguridad rastrearon cuatro campañas de troyanos bancarios para Android que se basan en el engaño, el sigilo y la desaparición de íconos de aplicaciones para permanecer ocultos a la vista después de la instalación.
Las campañas, llamadas RecruitRat, SaferRat, Astrinox y Massiv, se dirigieron colectivamente a más de 800 aplicaciones bancarias, de criptomonedas y de redes sociales, dicen los investigadores de Zimperium.
El alcance potencial es enorme porque muchas aplicaciones de uso común tienen miles de millones de descargas, a pesar de que las infecciones reales se cuentan por millones en lugar de miles de millones.
El artículo continúa a continuación.
Técnicas de instalación cada vez más complejas
Los investigadores han notado que los atacantes dependen en gran medida de engañar a los usuarios en lugar de simplemente explotar fallas técnicas. Las víctimas son dirigidas a sitios web falsos disfrazados de portales de empleo, servicios de streaming o descargas de software que parecen legítimos a primera vista.
Algunas campañas imitan las plataformas de reclutamiento, presionando a las víctimas para que descarguen una aplicación como parte de un supuesto proceso de reclutamiento, mientras que otras prometen acceso gratuito a contenido premium en streaming. Permite a los usuarios descargar software malicioso de fuentes no oficiales.
Las técnicas de instalación se han vuelto cada vez más complejas y muchos ataques utilizan métodos de entrega de varias etapas que ocultan la verdadera carga útil del malware dentro de otro archivo.
Un truco consiste en imitar la pantalla de actualización oficial con un diseño similar a la interfaz de Google Play para reducir las sospechas durante la instalación.
Una vez activado, el malware suele solicitar permisos de accesibilidad, lo que le permite monitorear acciones, leer el contenido de la pantalla y otorgarse privilegios adicionales sin el conocimiento explícito del usuario.
Una característica particularmente insidiosa permite que ciertas variantes reemplacen el ícono de su aplicación con una imagen en blanco, “desapareciendo” efectivamente la aplicación del cajón de aplicaciones del dispositivo, creando confusión cuando los usuarios intentan localizar o eliminar el software.
Otras versiones interfieren directamente con los intentos de desinstalación de malware al redirigir a los usuarios fuera de la configuración del sistema.
Las superposiciones de pantalla desempeñan un papel importante en el robo de credenciales en las cuatro campañas. Las pantallas de bloqueo falsas pueden capturar PIN y patrones, mientras que las páginas de inicio de sesión bancarias simuladas recopilan credenciales cuando los usuarios interactúan con aplicaciones legítimas.
Algunas variantes incluso muestran mensajes de “actualización” en pantalla completa que interrumpen las interacciones normales mientras se realizan acciones en segundo plano.
Más allá del robo de credenciales, varias familias transmiten contenido de pantalla en vivo a servidores remotos, creando una transmisión visual continua que permite a los atacantes monitorear la actividad e interceptar los pasos de autenticación en tiempo real.
Los canales de comunicación cifrados conectan los dispositivos infectados a un sistema de comando centralizado que coordina los ataques y distribuye instrucciones actualizadas.
Estos sistemas pueden manejar miles de dispositivos comprometidos simultáneamente, lo que facilita la organización de robos financieros masivos.
Los investigadores de Zimperium dicen que los métodos de evasión en evolución, incluidas las cargas útiles ocultas y la manipulación de archivos estructurados, dificultan la detección de las herramientas de seguridad tradicionales.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
