Alertan que apps para Android están robando datos bancarios
Foto Internet
Martes 23 de Marzo de 2021 5:32 pm
+ -Las aplicaciones ofrecen diversas funciones pero en realidad están propagando un malware
Desde las
plataformas digitales hoy es posible realizar muchas tareas sin necesidad de
salir de casa. Por ejemplo, hacer algunos pagos de servicios y comprar en
internet. Ello implica que nuestros datos bancarios se están digitalizando y,
como consecuencia, están en mayor riesgo. Si realizas este tipo de operaciones
desde un dispositivo Android, tienes que saber que hay algunas apps que están
propagando malware.
Investigadores
de Check Point Research han descubierto un nuevo dropper, es decir un programa
malicioso diseñado para introducir otro malware en el equipo de la víctima, que
se está propagando a través de la Play Store de Google. Apodado “Clast82” por
los investigadores, el dropper ejecuta un malware de segunda fase que
proporciona al ciberdelincuente un acceso intrusivo a las cuentas bancarias de
las víctimas, así como el control total de sus móviles.
Los analistas
de Check Point encontraron Clast82 dentro de apps de Android que prometen
diversas funciones como la grabación de pantalla o crear una VPN para una
navegación segura y secreta. Clast82 introduce el malware-as-a-service AlienBot
Banker, una amenaza de segunda fase que ataca a las aplicaciones bancarias
eludiendo su factor de doble de autenticación. Además, Clast82 está compuesto
por un troyano de acceso remoto móvil (MRAT) capaz de controlar el dispositivo
con TeamViewer con lo que cibercriminal tiene acceso al equipo como si lo
tuviera en sus manos.
Los
investigadores de Check Point explican cuál el método de ataque que utiliza
Clast82:
1. La víctima
descarga una app maliciosa desde Google Play, que contiene el dropper
Clast82.
2. Clast82 se
comunica con el servidor de C&C para recibir la configuración.
3. Clast82
descarga en el dispositivo Android un payload recibido por la configuración, y
lo instala, en este caso se trata de AlienBot Banker.
4. Los
ciberdelincuentes acceden a las credenciales bancarias de la víctima y proceden
a controlar el dispositivo por completo.
La compañía
alertó también que Clast82 utiliza una serie de técnicas para evitar ser
detectado por Google Play Protect, por ejemplo Firebase, una herramienta
propiedad de Google que sirve como plataforma para la comunicación del malware
con el dispositivo. Además, los cibercriminales tuvieron la atención de
"desactivar" el comportamiento malicioso de Clast82 durante el
periodo de evaluación por parte de Google.
"Las
víctimas pensaban que estaban descargando una aplicación inocua del mercado
oficial de Android, pero lo que realmente recibían era un peligroso troyano que
iba directamente a sus cuentas bancarias. La capacidad del dropper para pasar
desapercibido demuestra la importancia de contar con una tecnología de seguridad
móvil. No basta con escanear la aplicación durante el periodo de evaluación, ya
que un ciberdelincuente puede, y lo hará, cambiar el comportamiento de la
aplicación utilizando herramientas de terceros fácilmente disponibles",
señala Aviran Hazum, director de investigación de amenazas móviles en Check
Point.
Las 10 apps
implicadas Los ciberdelincuentes utilizaron las siguientes aplicaciones Android
legítimas y conocidas de código abierto:
Cake VPN
Pacific
VPN
eVPN
BeatPlayer
QR/Barcode
Scanner MAX
Music
Player
tooltipnatorlibrary
QRecorder
Es importante
destacar que Check Point informó a Google sobre los hallazgos y, unos días
después, las aplicaciones dejaron de estar disponibles en la Play Store.
El Universal
