El Político.- ESET, compañía líder en detección proactiva de amenazas, advierte sobre un peligroso troyano bancario para Android. El mismo había sido identificado a principios de año y encontró la forma de infiltrarse nuevamente en Google Play.
BankBot, logró entrar a la tienda oficial de Google Play haciéndose pasar por un juego llamado Jewels Star Classic. Los atacantes utilizaron el nombre de la popular saga Jewels Star, desarrollada por ITREEGAMER, sin que ellos estén relacionados a esta campaña maliciosa. Cuando ESET notificó al equipo de seguridad de Google sobre la aplicación maliciosa, 5.000 usuarios ya la habían instalado en sus equipos.
Lea también: La absurda cantidad que necesitarás para poder degustar un Toronto
Al descargar esta versión de Jewels Star Classic, se obtiene un juego de Android que funciona, pero que tiene algunas características maliciosas, por ejemplo, un malware bancario entre los recursos del juego y un servicio malicioso que espera ser ejecutado tras una ventana de tiempo preconfigurada.
El servicio malicioso se activa 20 minutos después de la primera ejecución del juego. El dispositivo infectado muestra una alerta instando al usuario a habilitar algo llamado “Google Service”. Esta alerta aparece independientemente de la actividad que esté llevando a cabo el usuario, sin conexión aparente con el juego.
Hacer clic en OK, el usuario le da a la amenaza vía libre para ejecutar cualquier acción que necesite para continuar su actividad maliciosa. Una vez que se aceptan los permisos, al usuario se le niega brevemente el acceso a su pantalla debido a una supuesta “actualización” de Google Service.
Mientras el usuario espera que la actualización termine, el malware habilita la instalación de aplicaciones de fuentes desconocidas, como BankBot y posteriormente lo ejecuta; activa el administrador de dispositivo para BankBot, establece BankBot como aplicación de SMS por defecto y obtiene permiso para sobrescribir otras aplicaciones.
Una vez que se ejecutan estas tareas, el malware intenta robar los datos de las tarjetas de crédito de las víctimas. Al ejecutar la aplicación de Google Play, BankBot entra en acción y se superpone a la aplicación legítima con un formulario falso, en el que le pide los datos de la tarjeta de crédito del usuario.
En este paso, el usuario puede caer en la trampa e ingresar los datos y ser estafado. BankBot, además, se establece a sí mismo como la aplicación de mensajería por defecto por lo que puede interceptar todos los mensajes SMS que pasan por el dispositivo infectado. Esto les permite a los atacantes evadir la doble autenticación basada en SMS en la cuenta bancaria de la víctima.
“Las técnicas combinadas hacen muy difícil para la víctima reconocer la amenaza a tiempo. Suplantar un servicio que dice ser de Google y esperar 20 minutos antes de mostrar la primera alerta, implica que la víctima tiene pocos chances para relacionar su actividad con la aplicación de Jewel Star Classic que acaba de descargar.”, mencionó Camilo Gutiérrez, Jefe del Laboratorio de investigación de ESET Latinoamérica.
Gutiérrez asegura que para detectar y eliminar la amenaza con todos sus componentes, es recomendable usar una solución de seguridad móvil.
Vía ESET Latinoamérica
