Desde mediados de este año, una muestra de troyano espía capaz de robar información de equipos con Android se ha estado proliferando en la región, afectando especialmente a usuarios argentinos. En este artículo te contamos un poco más sobre cómo funciona este malware y por dónde se está propagando.
¿Qué hace este troyano?
Esta variante de espía, detectada por nuestros productos como Android/Spy.Banker.KZ, surgió a finales de mayo de 2017. Desde entonces se ha propagado por diversos países aprovechándose de usuarios desprevenidos que hacen uso de tiendas no oficiales, mayormente con dominios pertenecientes a sitios de Irán, haciéndose pasar por otras aplicaciones genuinas.
El código malicioso es realmente una aplicación espía, publicitada como tal en diversos sitios, ofreciendo incluso la capacidad de conocer todos los datos de un equipo. Aunque la aplicación se promociona como una app que no puede ser utilizada sin el consentimiento del dueño del equipo, ha devenido en una pieza más de malware utilizada para comprometer la información de usuarios inocentes.
La aplicación maliciosa es un troyano espía capaz de robar información delicada del terminal, como mensajes, llamadas, localización geográfica, credenciales de acceso de diversas plataformas, fotos, videos y demás archivos multimedia, entre otras cosas. El malware posee algunos métodos anti-análisis, como ofuscación y empaquetado, e intenta rootear (obtener permisos de administrador para realizar modificaciones al sistema operativo) el equipo y ubicarse dentro de la carpeta del sistema. Además, demanda al usuario que lo configure como administrador del dispositivo, lo que le otorga la facultad de instalar otras aplicaciones en el equipo o impedir ser desinstalada.
El troyano también tiene una opción para ocultarse en el dispositivo, de modo que la víctima no pueda advertir que está siendo espiada. Así, no sólo puede robar información proveniente de diferentes canales, sino que también puede comunicarse de variadas formas con el C&C (Comand & Control). Dentro de las capacidades de la aplicación, posee los permisos para enviar y recibir mensajes y llamadas a discreción de quien la controla, pudiendo ocasionar además un impacto económico para la víctima.
Impacto en la región
Cuando analizamos la cantidad de detecciones a nivel mundial vemos que esta amenaza tuvo un aumento considerable de detecciones al momento de su descubrimiento, mientras que la cantidad de detecciones ha ido decayendo con el correr del tiempo. El 77% del total de detecciones a nivel mundial corresponde a Irán, lo cual es coherente con los medios de propagación que esta amenaza utiliza. No obstante, Latinoamérica no ha resultado invicta, especialmente Argentina.
Cuando analizamos las detecciones en la región, nos damos con que Argentina ha sido el país con más detecciones (48%). De hecho, casi la mitad de las detecciones se concentran en este país. Lo siguen Brasil (19%) y México (13%), dos países que históricamente poseen más detecciones de malware móvil que Argentina.
A su vez, si vemos cuáles son las variantes de Android/Spy.Banker más detectadas en Argentina, nos encontraremos con que el 71% de todas las detecciones de troyanos espías capaces de comprometer información bancaria corresponden a este malware en particular.
Otro dato interesante es que en Argentina las detecciones no siguieron el mismo declive a lo largo del tiempo que se evidenció a nivel internacional. En cambio, éstas resurgen a mediados de agosto y continúan hasta noviembre, indicándonos que aún existe el riesgo de terminar infectados por este troyano.
¿Qué podemos hacer para mantenernos seguros?
Como ya hemos mencionado en otros artículos sobre seguridad móvil, existen algunos pasos que se pueden seguir al momento de cuidar los datos en teléfonos inteligentes y tabletas. A continuación, te mencionamos algunos de ellos:
- Actualiza siempre el sistema operativo y las Apps de tu dispositivo a la última versión disponible.
- Haz una copia de seguridad de todos los datos en el equipo, o al menos de los más valiosos.
- Usa soluciones de seguridad provistas por una organización con alta reputación y mantenlas actualizadas.
- Procura utilizar solo tiendas oficiales para descargar aplicaciones, donde las probabilidades de infectarte con malware son más bajas –no nulas–.
- Chequea los comentarios y valuaciones de las apps que instalas desde tiendas oficiales, y ten cuidado con los permisos que otorgas a las diferentes aplicaciones si no confías en sus desarrolladores.
- Usa el bloqueo de pantalla y recuerda que el patrón puede ser fácilmente adivinable y menos seguro que un PIN, y que una contraseña es tu mejor elección.
- Cifra el contenido de tu dispositivo.
- Trata de evitar procesos de rooting o jailbreaking del dispositivo.
Fuente:
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
