Una campaña nueva y bastante exitosa para enviar troyanos a Androide (se abre en una pestaña nueva) usuarios ha sido descubierto por investigadores de ciberseguridad de Threat Fabric.
Los expertos advierten que desde que Google actualizó su «Política del programa para desarrolladores», los actores de amenazas han estado buscando nuevas formas de entregar malware a través de Play Store y mantente fuera del radar mientras lo haces.
Esta nueva campaña incluye varios droppers, con más de 130 000 descargas entre ellos, y despliega dos troyanos conocidos en los terminales móviles de las víctimas: Sharkbot y Vultur. Si bien los objetivos de Sharkbot son exclusivamente italianos, los operadores de Vultur están lanzando una red un poco más grande, apuntando no solo a los italianos, sino también a personas en el Reino Unido, los Países Bajos, Alemania y Francia.
Actualizaciones falsas
El modus operandi de Sharkbot es simple: la versión que se encuentra en el repositorio de aplicaciones móviles de Google no es maliciosa, pero tan pronto como el usuario la enciende, muestra una página falsa de Play Store, lo que obliga a la víctima a «actualizar» la aplicación antes de usarla. “Dado que las víctimas están seguras del origen de la aplicación, es muy probable que instalen y ejecuten la carga útil descargada de Sharkbot”, concluyeron los investigadores.
El objetivo de Sharkbot es transferir dinero, desde cuentas bancarias pertenecientes a las víctimas, a los operadores, a través de Sistemas de Transferencia Automática. NCC Group lo describió como una «técnica avanzada» que rara vez se usa con el malware de Android, que permite a los actores de amenazas completar automáticamente los campos en aplicaciones bancarias móviles legítimas.
Vultur, por otro lado, apunta a aplicaciones de redes sociales y mensajería, aplicaciones bancarias y aplicaciones de intercambio de criptomonedas.
Entre los dos, Vultur parece ser el troyano más exitoso, ya que Threat Fabric dice que llegó a más de 100 000 posibles víctimas de fraude en los últimos meses.
“La distribución a través de cuentagotas en Google Play sigue siendo la forma más “asequible” y escalable de llegar a las víctimas para la mayoría de los actores de diferentes niveles”, concluyeron los investigadores.
“Si bien las tácticas sofisticadas, como la entrega de ataques orientada al teléfono, requieren más recursos y son difíciles de escalar, los droppers en las tiendas oficiales y de terceros permiten a los actores de amenazas llegar a una amplia audiencia desprevenida con esfuerzos razonables”.
- Resiste virus y ransomware con el mejor cortafuegos herramientas alrededor
A través de: Asuntos de seguridad (se abre en una pestaña nueva)
