ESET ALERTA POR UN TROYANO
BANCARIO EN GOOGLE PLAY
La compañía de seguridad informática
identificó a BankBot, un peligroso troyano bancario para Android que se hace pasar
por el juego Jewels Star Classic.
ESET, compañía líder en detección proactiva de amenazas, advierte sobre un
peligroso troyano bancario para Android. El mismo había sido identificado a principios
de año y encontró la forma de infiltrarse nuevamente en Google Play.
BankBot, logró entrar a la
tienda oficial de Google Play haciéndose pasar por un juego llamado Jewels Star Classic. Los atacantes
utilizaron el nombre de la popular saga Jewels Star, desarrollada por
ITREEGAMER, sin que ellos estén relacionados a esta campaña maliciosa. Cuando
ESET notificó al equipo de seguridad de Google sobre la aplicación maliciosa, 5.000 usuarios ya la habían instalado en sus equipos.
Figura 1: La aplicación maliciosa descubierta en Google Play
Al descargar esta versión
de Jewels Star Classic, se obtiene un juego de Android que funciona, pero que
tiene algunas características maliciosas, por ejemplo un malware bancario entre
los recursos del juego y un servicio malicioso que espera ser ejecutado tras
una ventana de tiempo preconfigurada.
El servicio malicioso se
activa 20 minutos después de la primera ejecución del juego. El dispositivo
infectado muestra una alerta impulsando al usuario a habilitar algo llamado
“Google Service”. Esta alerta aparece independientemente de la actividad que
esté llevando a cabo el usuario, sin conexión aparente con el juego.
Pie de foto: Alerta que insta al usuario a habilitar “Google Service”
Hacer clic en OK, el
usuario le da a la amenaza vía libre para ejecutar cualquier acción que
necesite para continuar su actividad maliciosa. Una vez que se aceptan los
permisos, al usuario se le niega brevemente el acceso a su pantalla debido a
una supuesta “actualización” de Google Service.
Mientras el usuario espera
que la actualización termine, el malware habilita la instalación de
aplicaciones de fuentes desconocidas, instala BankBot desde sus recursos y lo
ejecuta, activa el administrador de dispositivo para BankBot, establece BankBot
como aplicación de SMS por defecto y obtiene permiso para sobreescribir otras
aplicaciones.
Una vez que se ejecutan
estas tareas, el malware intenta robar los datos de las tarjetas de crédito de
las víctimas. Al ejecutar la aplicación de Google Play, BankBot entra en acción
y se superpone a la aplicación legítima con un formulario falso, en el que le
pide los datos de la tarjeta de crédito del usuario.
Pie de foto: Formulario falso que solicita los datos de la tarjeta de
crédito de la víctima
En este paso, el usuario puede
caer en la trampa e ingresar los datos y ser estafado. BankBot, además, se
establece a sí mismo como la aplicación de mensajería por defecto por lo que puede
interceptar todos los mensajes SMS que pasan por el dispositivo infectado. Esto
les permite a los atacantes evadir la doble autenticación basada en SMS en la
cuenta bancaria de la víctima, que sería potencialmente el último obstáculo
protegiendo a la víctima.
“Las técnicas combinadas hacen muy difícil para la víctima reconocer la
amenaza a tiempo. Suplantar un servicio que dice ser de Google y esperar 20
minutos antes de mostrar la primera alerta, implica que la víctima tiene pocas
chances para relacionar su actividad con la aplicación de Jewel Star Classic
que acaba de descargar.”, mencionó Camilo Gutierrez,
Jefe del Laboratorio de investigación de ESET Latinoamérica. “Para detectar y eliminar la amenaza con
todos sus componentes, recomendamos usar una solución de seguridad móvil.”, concluyó
Gutierrez.
Para chequear si un
dispositivo está infectado, ESET Latinoamérica recomienda prestar atención a
los siguientes indicadores:
·
Presencia
de una app llamada “Google Update”
·
Un
administrador de dispositivo activo llamado “System update”
·
Aparición
repetida del alerta de “Google Service”
Si se detectan alguno de
estos indicadores, es probable que el dispositivo se haya infectado con esta
variante de BankBot. Para limpiar manualmente un dispositivo, primero se necesita
deshabilitar los derechos de administrador de “System Update”, luego proceder a
desinstalar tanto “Google Update” como la aplicación troyanizada asociada, en
este caso Jewel Star Classic.
Además de usar una solución
de seguridad confiable, ESET Latinoamérica recomienda tener en cuenta otros
aspectos para evitar ser víctima de malware móvil:
·
Cuando sea
posible, darle prioridad a las tiendas de aplicaciones oficiales y no a las
alternativas. Google Play emplea mecanismos de seguridad avanzados, lo cual no
siempre es el caso en otras tiendas.
·
Antes de
descargar una aplicación, es importante verificar su popularidad mirando el
número de instalaciones, las calificaciones y los comentarios de los usuarios
anteriores.
·
Tras
ejecutar cualquier cosa que se haya instalado en un dispositivo móvil, prestar
atención a los permisos y derechos que solicita. Si una aplicación requiere
permisos intrusivos, sobre todo relacionados a accesibilidad, leerlos con
cuidado y asignarlos solo si se está totalmente seguro de que la aplicación es
confiable.
No hay comentarios:
Publicar un comentario