Falso reCAPTCHA esconde malware en apps de Android

En esta campaña de phishing los atacantes se hacen pasar por Google en ataques contra las instituciones bancarias y sus usuarios

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una nueva campaña de phishing que apunta hacia usuarios de servicios bancarios en línea. Los operadores de la campaña se hacen pasar por Google para tratar de obtener las credenciales de acceso de las víctimas.

La campaña ha impactado a una institución bancaria en Polonia y a sus clientes. Los atacantes han hecho pasar el ataque como un sistema de reCAPTCHA de Google y además usan el chantaje y la intimidación para que las víctimas hagan clic en los enlaces maliciosos incluidos en los emails enviados por los operadores de la campaña.

Los mensajes que los atacantes envían contienen información falsa sobre transacciones recientes con un enlace a un archivo malicioso. En el mensaje, los atacantes solicitan a la víctima que verifique las transacciones haciendo clic en el enlace.

Aunque hasta ahora esta campaña no parece diferente a cualquier ataque de phishing, especialistas en seguridad en redes afirman que esta campaña es fácilmente distinguible en su segunda etapa. En lugar de redirigir a la víctima a una réplica del sitio web legítimo, la víctima encuentra una página falsa de error 404.

La página tiene una cantidad de agentes de usuario específicamente definidos que están limitados a los rastreadores de Google. Si la solicitud no está relacionada con el rastreador de Google, en otras palabras, los motores de búsqueda alternativos están en uso, entonces el script PHP en su lugar carga un Google reCAPTCHA falso compuesto de JavaScript y HTML estático.

“La página muestra una réplica muy buena del reCAPTCHA de Google. Sin embargo, debido a que se basa en elementos estáticos. Las imágenes mostradas siempre serán las mismas, a menos que se cambie la codificación del PHP malicioso”, reportan los especialistas en seguridad en redes. “Además, a diferencia del reCAPTCHA legítimo, no es compatible con la reproducción de audio”.

Luego se vuelve a verificar el agente del navegador para determinar cómo ha visitado la víctima la página. Una vez ahí, los usuarios encontrarán un APK maliciosa reservada para los usuarios de Android que completan el CAPTCHA y descargan la carga útil.

Algunas muestras de este software malicioso ya han sido analizadas. En la mayoría de los casos puede ser encontrado en su forma de Android y puede leer el estado, la ubicación y los contactos de un dispositivo móvil; escanear y enviar mensajes SMS, realizar llamadas telefónicas, grabar audio y robar otra información confidencial.

Acorde a especialistas en seguridad en redes, algunas soluciones antivirus han detectado a este troyano como Banker, BankBot, Evo-gen, Artemis, entre otros nombres.

El pasado mes de enero, especialistas en seguridad en redes descubrieron una campaña de phishing relacionada con el troyano Anubis. Los especialistas descubrieron dos apps en Google Play (un convertidor de divisas y un software de ahorro de energía) cargados con malware listo para activarse en cuanto el usuario interactuara con su dispositivo.

Por último, los investigadores afirman que el malware trató de evitar que recurrieran al uso de un entorno de sandbox usando los datos del sensor de movimiento para detonar su ejecución.

(Visited 379,1 times)