Inicio / Alertas / El nuevo malware de Android ahora también roba contraseñas para aplicaciones no bancarias

El nuevo malware de Android ahora también roba contraseñas para aplicaciones no bancarias

Los investigadores de seguridad descubrieron hoy una nueva variedad de malware bancario que se dirige no solo a aplicaciones bancarias sino que también roba datos y credenciales de las aplicaciones de redes sociales, citas y criptomonedas, en total 337 aplicaciones Android no financieras en su lista de objetivos.

Apodado “BlackRock” por los investigadores de ThreatFabric, que descubrieron el troyano en mayo, su código fuente se deriva de una versión filtrada del malware bancario Xerxes, que en sí mismo es una cepa del troyano bancario Android LokiBot que se observó por primera vez durante 2016-2017.

La principal de sus características es robar credenciales de usuario, interceptar mensajes SMS, secuestrar notificaciones e incluso grabar pulsaciones de teclas de las aplicaciones específicas, además de ser capaz de esconderse del software antivirus.

“No solo el troyano [BlackRock] sufrió cambios en su código, sino que también viene con una mayor lista de objetivos y ha estado en curso durante un período más largo”, dijo ThreatFabric.

“Contiene una cantidad importante de aplicaciones sociales, de redes, de comunicación y de citas [que] no se han observado en las listas de objetivos para otros troyanos bancarios existentes”.

android banking malware app

BlackRock realiza la recopilación de datos al abusar de los privilegios del Servicio de Accesibilidad de Android, para lo cual busca los permisos de los usuarios bajo la apariencia de falsas actualizaciones de Google cuando se inicia por primera vez en el dispositivo, como se muestra en las capturas de pantalla compartidas.

Posteriormente, se otorga permisos adicionales y establece una conexión con un servidor de comando y control remoto (C2) para llevar a cabo sus actividades maliciosas mediante la inyección de superposiciones en las pantallas de inicio de sesión y pago de las aplicaciones específicas.

Estas superposiciones de robo de credenciales se han encontrado en aplicaciones bancarias que operan en Europa, Australia, EE. UU. Y Canadá, así como en aplicaciones comerciales, de comunicación y comerciales.

android banking malware app

“La lista objetivo de aplicaciones no financieras contiene aplicaciones famosas como Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit y Tumblr, entre otras”.

Esta no es la primera vez que el malware móvil ha abusado de las funciones de accesibilidad de Android.

A principios de este año, los investigadores de IBM X-Force detallaron una nueva campaña de TrickBot, llamada TrickMo, que se encontró exclusivamente dirigida a usuarios alemanes con malware que utilizaba mal las funciones de accesibilidad para interceptar contraseñas de un solo uso (OTP), TAN móvil (mTAN) y autenticación pushTAN códigos

Luego, en abril, Cybereason descubrió una clase diferente de malware bancario conocido como EventBot que aprovechó la misma función para filtrar datos confidenciales de aplicaciones financieras, leer mensajes SMS de usuarios y secuestrar códigos de autenticación de dos factores basados ​​en SMS.

Lo que hace que la campaña de BlackRock sea diferente es la amplitud de las aplicaciones específicas, que van más allá de las aplicaciones de banca móvil que generalmente son específicas.

“Después de Alien, Eventbot y BlackRock, podemos esperar que los actores de amenazas con motivación financiera construyan nuevos troyanos bancarios y continúen mejorando los existentes”, concluyeron los investigadores de ThreatFabric.

“Con los cambios que esperamos que se realicen en los troyanos de banca móvil, la línea entre el malware bancario y el spyware se vuelve más delgada, [y] el malware bancario representará una amenaza para más organizaciones”.

Vea También

Filtradas las contraseñas de más de 900 VPN empresariales

Hay noticias como esta sobre la pérdida de seguridad de redes VPN que, me sabe …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.