Se han observado aplicaciones Android maliciosas que se hacen pasar por Google, Instagram, Snapchat, WhatsApp y X (antes Twitter) para robar las credenciales de los usuarios de dispositivos comprometidos.

«Este malware utiliza famosos iconos de aplicaciones de Android para engañar a los usuarios y engañar a las víctimas para que instalen la aplicación maliciosa en sus dispositivos», afirma el equipo de investigación de amenazas de SonicWall Capture Labs en un informe reciente.

El vector de distribución de la campaña no está claro por el momento. Sin embargo, una vez que la aplicación se instala en los teléfonos de los usuarios, les pide que le concedan permisos para los servicios de accesibilidad y la API de administrador de dispositivos, una función ahora obsoleta que proporciona funciones de administración de dispositivos a nivel de sistema.

La obtención de estos permisos permite a la aplicación maliciosa hacerse con el control del dispositivo, lo que le permite llevar a cabo acciones arbitrarias que van desde el robo de datos hasta la instalación de malware sin el conocimiento de las víctimas.

El malware está diseñado para establecer conexiones con un servidor de mando y control (C2) con el fin de recibir comandos para su ejecución, lo que le permite acceder a listas de contactos, mensajes SMS, registros de llamadas, la lista de aplicaciones instaladas; enviar mensajes SMS; abrir páginas de phishing en el navegador web y activar la linterna de la cámara.

Las URL de phishing imitan las páginas de inicio de sesión de servicios conocidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress y Yahoo.

El desarrollo se produce cuando Symantec, propiedad de Broadcom, advirtió de una campaña de ingeniería social que emplea WhatsApp como vector de entrega para propagar un nuevo malware para Android haciéndose pasar por una aplicación relacionada con la defensa.

«Tras una entrega exitosa, la aplicación se instalaría bajo la apariencia de una aplicación de Contactos», dijo Symantec. «Tras su ejecución, la app solicitaría permisos para SMS, Contactos, Almacenamiento y Teléfono y posteriormente se eliminaría a sí misma de la vista».

También sigue al descubrimiento de campañas de malware que distribuyen troyanos bancarios para Android como Coper, capaz de recopilar información confidencial y mostrar falsas ventanas superpuestas, engañando a los usuarios para que entreguen sus credenciales sin saberlo.

La semana pasada, el Centro Nacional de Ciberseguridad de Finlandia (NCSC-FI) reveló que se están utilizando mensajes de smishing para dirigir a los usuarios a programas maliciosos para Android que roban datos bancarios.

La cadena de ataques aprovecha una técnica denominada entrega de ataques orientada al teléfono (TOAD), en la que los mensajes SMS instan a los destinatarios a llamar a un número en relación con una reclamación de cobro de deudas.

Una vez realizada la llamada, el estafador al otro lado informa a la víctima de que el mensaje es fraudulento y de que debe instalar una aplicación antivirus en su teléfono para protegerse.

También indica a la persona que llama que haga clic en un enlace enviado en un segundo mensaje de texto para instalar el supuesto software de seguridad, pero en realidad se trata de malware diseñado para robar credenciales de cuentas bancarias en línea y, en última instancia, realizar transferencias de fondos no autorizadas.

Aunque el NCSC-FI no ha identificado la cepa exacta de malware para Android utilizada en el ataque, se sospecha que se trata de Vultr, del que NCC Group informó a principios del mes pasado que utiliza un proceso prácticamente idéntico para infiltrarse en los dispositivos.

En los últimos meses también se han detectado programas maliciosos basados en Android, como Tambir y Dwphon, con diversas funciones de recopilación de dispositivos. Este último está dirigido a teléfonos móviles de fabricantes chinos y principalmente al mercado ruso.

«Dwphon viene como un componente de la aplicación de actualización del sistema y muestra muchas características de malware preinstalado de Android», dijo Kaspersky.

«La ruta exacta de infección no está clara, pero se supone que la aplicación infectada se incorporó al firmware como resultado de un posible ataque a la cadena de suministro».

Los datos de telemetría analizados por la empresa rusa de ciberseguridad muestran que el número de usuarios de Android atacados por malware bancario aumentó un 32% en comparación con el año anterior, pasando de 57.219 a 75.521. La mayoría de las infecciones se han registrado en Turquía, Arabia Saudí, España, Suiza e India.

«Aunque el número de usuarios afectados por malware bancario para PC sigue disminuyendo, […] en el año 2023 aumentó significativamente el número de usuarios que se encontraron con troyanos bancarios para móviles», señaló Kaspersky.

Fuente: THN