El investigador en seguridad Niels Croese, de Securify B.V, ha descubierto una nueva variante de un troyano bancario para Android oculto bajo diferentes nombres en la Play Store, entre ellos la aplicación Funny Videos 2017.
Croese ha analizado la aplicación Funny Videos (vídeos divertidos en inglés), la cual tiene entre 1.000 y 5.000 instalaciones, descubriendo que actúa como cualquier otra de contenidos de vídeo en la Play Store, pero en segundo plano se dedica a ir contra las aplicaciones bancarias instaladas en los dispositivos Android.
El troyano bancario recientemente descubierto funciona como cualquier otro malware del mismo tipo, pero hay dos cosas que lo hacen algo diferente: su capacidad para apuntar contra las víctimas y el uso de la herramienta DexProtector para ofuscar el código de la aplicación.
El malware descubierto por Niels Croese ha recibido el nombre de BankBot, y tiene como objetivo a los clientes de más de 420 bancos de todo el mundo, incluyendo Citibank, ING, ABN, Rabobank, ASN, Regiobank, Binck y muchos otros, por lo que posiblemente el tuyo, en el cual eres cliente, también esté afectado.
Cómo funciona BankBot, el nuevo troyano bancario para Android
BankBot es un troyano bancario que no parece ser otra cosa que una aplicación sencilla. Una vez instalada, permite a los usuarios ver vídeos divertidos, pero en segundo plano puede dedicarse a interceptar mensajes de SMS y desplegar ventanas superpuestas para robar información bancaria.
Los troyanos bancarios para móviles muchas veces son distribuidos como plugins para las aplicaciones o una aplicación con contenido adulto, pero en esta ocasión se ha detectado que puede ser descargado de la misma Play Store, haciéndose pasar como una aplicación estándar de Android.
Nada más detectarse esta situación, Google procedió a eliminar las aplicaciones relacionadas con BankBot de la Play Store, sin embargo, aquellas personas que aún las tenga instaladas siguen en riesgo. Por otro lado, esto no quiere decir que el malware no siga en la misma tienda ofuscado en otras aplicaciones, ya que la “Play Store se basa principalmente en un escaneo automatizado sin una comprensión plena de los actuales vectores ofuscados, dando como resultado un malware bancario en la Google Play Store”, según explica el mismo investigador.
Una vez descargada, la aplicación con BankBot ofuscado pide de forma persistente permisos de administración. Si se les concede, el malware bancario puede controlar cualquier cosa que pase en el smartphone Android infectado. Luego, BankBot entra en acción cuando la víctima abre cualquier otra aplicación móvil desde una lista preconfigurada con 425 aplicaciones de bancos, dedicándose a imitar sus interfaces para que el usuario pique e introduzca sus datos, siendo esto un ataque de phishing.
Si el usuario rellena los campos enviará sus datos a dos destinos. Uno de ellos es el propio banco del usuario, pero el otro son los servidores utilizados por los ciberdelincuentes. Esta técnica de ingeniería social es a menudo utilizada para obtener los datos bancarios de personas incautas.
¿Cómo protegerse de BankBot?
El usuario puede seguir estas recomendaciones sencillas y estándares para evitar caer en el ataque de phishing de BankBot:
- Instalar una buena aplicación antivirus capaz de detectar y bloquear el malware que pueda infectar el smartphone, además de tenerlo actualizado.
- Instalar las aplicaciones siempre de tiendas oficiales, como Play Store y App Store, además de verificar los permisos solicitados. En caso de que la aplicación pida más permisos de los que en teoría necesita, se recomienda no instalarla.
- No descargar aplicaciones procedentes de tiendas o sitios web de terceros. Aunque el caso que nos ocupa afecta a la Play Store, generalmente el malware para Android tiende a distribuirse fuera.
- Esquivar los puntos de Wi-Fi desconocidos y/o no seguros y apagar la Wi-Fi del router de casa en caso de no usarse.
- Tener cuidado con las aplicaciones a las que se concede permisos de administración, ya que estos pueden otorgar poder total sobre el dispositivo.
- Nunca hacer clic sobre enlaces de los SMS. Incluso si la procedencia es legítima, se recomienda en su lugar abrir el sitio web desde un navegador y comprobar las actualizaciones manualmente.
Fuente:https://muyseguridad.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad