De nuevo el sistema operativo móvil de los de Mountain View es noticia gracias al malware ANDROIDOS_FAKEBANK.OPSA. Hay que decir que no se trata de una novedad y que esta amenaza forma parte de una operación que comenzó a principios de año. Se basta de la aplicación TeamViewer para controlar otros dispositivos de forma remota.
Al igual que en los orígenes, la amenaza se distribuye haciendo uso de generadores de contraseñas para determinadas aplicaciones. Comenzó afectando a usuario de entidades bancarias rusas, pero posteriormente ya se sabe que Internet hace su trabajo y pronto alcanzó otros territorios europeos.
La aplicación en la que se está ocultando la amenaza es SmsSecurity, prometiendo generar códigos de un único uso que se envían a través de mensajes de texto. La aplicación malware es capaz de detectar en qué entorno se está ejecutando, evitando la instalación del malware si se detecta una máquina virtual o sistema de pruebas similar.
Algo que realmente llama la atención es que la aplicación no cesa el bombardeo de pop-ups solicitando los permisos de administrador hasta que finalmente el usuario se los otorga.
Pero lo realmente curioso es que solicita permisos para hacer uso de las funciones relacionadas con accesibilidad reducida.
Utiliza TeamViewer para controla dispositivos de forma remota
En vez de utilizar otro software, la amenaza lee el ID generado por este software, enviándolo posteriormente al servidor de control y utilizando este para establecer una conexión que permita el control remoto, permitiendo la instalación de más aplicaciones malware o el robo de archivos de forma mucho más sencilla.
Recopilación de credenciales de servicios de banca en línea
Además de controlar el dispositivo y recopilar archivos almacenados en él, no nos podemos olvidar de la principal finalidad para la que fue creada esta amenaza. Mientras la anterior ha aparecido en esta revisión, la función de robar las credenciales de acceso a servicios de banca en línea es algo que está presente desde el mes de enero, y que en esta todavía se mantiene.
Lo fundamental es ofrecer permisos de administrador, en caso contrario no solo no supone un peligro para el equipo y los datos almacenados en él, sino que pasado un tiempo la propia aplicación lleva a cabo su propia desinstalación.
La distribución de la aplicación SmsSecutiry se está realizando a través de tiendas de aplicaciones no oficiales, de ahí que se pida extremar las precauciones con el software que se descarga y evitar sustos como este.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
