Esto no es nuevo pero si cada vez más frecuente, troyanos bancarios penetraron en casi 300.000 dispositivos entre agosto y noviembre. El malware se propagó a través de la tienda oficial de Google Play.
Las aplicaciones maliciosas se hicieron pasar por apps de utilidad e intentaron tomar el control total de los dispositivos infectados. Inocularon los malwares Anatsa, ERMAC, Alien e Hydra. El malware más avanzado que se ha incorporado en varias de estas apps es denominado “Anatsa” y logra extraer datos bancarios para robar dinero.
Los ciberdelincuentes aprovechan las tendencias para hacer más atractivos sus productos donde camuflan los virus para robar datos personales, por este motivo, los códigos QR o las billeteras de criptomonedas son una nueva fuente para distribuir ataques informáticos.
Miles de usuarios han descargado lectores de QR, escáneres de documentos y otras herramientas tras las que se escondían códigos maliciosos especializados en robar datos bancarios. Las aplicaciones en cuestión abarcan funciones tan dispares como los lectores de códigos QR, escáneres de documentos, hasta billeteras de criptomonedas. Una vez instalada la aplicación durante un tiempo, se exige la actualización para poder seguir usándola, aquí es donde se integra el virus capaz de rastrear las contraseñas de la persona e interceptar los códigos de autentificación en dos pasos.
Estos troyanos bancarios son capaces de leer y grabar las teclas que presionas en tu smartphone y hacer capturas de pantalla. Todo con el objetivo de conocer los datos personales de sus víctimas y adueñarse del control de tarjetas de crédito y cuentas bancarias y acceder a los servicios online.
Estas son las 12 apps de Google Play que han sido detectadas con malware:
- Two Factor Authenticator (com.flowdivison)
- Protection Guard (com.protectionguard.app)
- QR CreatorScanner (com.ready.qrscanner.mix)
- Master Scanner Live (com.multifuction.combine.qr)
- QR Scanner 2021 (com.qr.code.generate)
- QR Scanner (com.qr.barqr.scangen)
- PDF Document Scanner - Scan to PDF (com.xaviermuches.docscannerpro2)
- PDF Document Scanner (com.docscanverifier.mobile)
- PDF Document Scanner Free (com.doscanner.mobile)
- CryptoTracker (cryptolistapp.app.com.cryptotracker)
- Gym and Fitness Trainer (com.gym.trainer.jeux)
Una vez instalados, estos troyanos pueden robar contraseñas de usuario, pulsaciones de teclas, códigos de autenticación de dos factores basados en SMS y capturas de pantalla. Además es posible que extraigan valores de las cuentas bancarias de los usuarios sin su conocimiento mediante el uso de herramientas de transferencia automática.
Las aplicaciones fueron eliminadas de Play Store, pero los usuarios infectados siguen en riesgo. Aunque Google ha introducido limitaciones para restringir el uso de permisos de acceso, los delincuentes utilizan una forma más tradicional de instalar aplicaciones llamada control de versiones para evitar la detección, las versiones limpias de las aplicaciones se cargan primero y luego las funcionalidades maliciosas se disimulan como nuevas actualizaciones de la aplicación. Google ha reforzado en los últimos años sus medidas de seguridad y suele eliminar de inmediato las apps que son denunciadas, los ciberdelincuentes siguen encontrando alternativas para esquivar esos controles y falsificar las reseñas dando mayor sensación de legalidad a su producto, por lo que la probabilidad de que existan Apps contaminada es real.
Este no es el único, ni el último caso de ese tipo de ataque, debemos prestar atención a las aplicaciones que se descargan y el origen de las actualizaciones. Aquellos que sospechen haber sigo víctimas de esta campaña de ciberataque, deberían vigilar sus cuentas bancarias y desinstalar cualquier aplicación sospechosa.
Si una app no es utilizada durante un tiempo es mejor desinstalarla. Aun así, contar con un buen antivirus y copias de seguridad periódicas es vital para estar preparados cuando los virus lleguen al dispositivo, porque si algo es seguro, es que todo el mundo es una víctima potencial.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |