Un reciente informe del equipo de investigación de amenazas de SonicWall Capture Labs reveló la detección de aplicaciones maliciosas en Android que se hacen pasar por Google, Instagram, Snapchat, WhatsApp y X (antes conocido como Twitter), con el fin de robar credenciales de usuarios en dispositivos comprometidos.
Este malware utiliza íconos de aplicaciones conocidas de Android para engañar a los usuarios y convencer a las víctimas de instalar la aplicación maliciosa en sus dispositivos.
Aunque el método de distribución de la campaña aún no está claro, una vez que la aplicación se instala en los teléfonos de los usuarios, les solicita conceder permisos para los servicios de accesibilidad y la API de administrador de dispositivos, una característica obsoleta que brinda funciones de administración de dispositivos a nivel del sistema.
Otorgar estos permisos permite que la aplicación falsa tome el control del dispositivo, lo que posibilita la ejecución de acciones fraudulentas que van desde el robo de datos hasta el despliegue de malware sin el conocimiento de los afectados.
El malware está diseñado para establecer conexiones con un servidor de comando y control (C2) para recibir órdenes de ejecución, lo que le permite acceder a listas de contactos, mensajes SMS, registros de llamadas, la lista de aplicaciones instaladas, enviar mensajes SMS, abrir páginas de phishing en el navegador web y activar la linterna de la cámara.
Las URL de phishing imitan las páginas de inicio de sesión de servicios conocidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress y Yahoo.
Esto sigue a una advertencia emitida por Cyfirma y Symantec, propiedad de Broadcom, sobre una campaña de ingeniería social que utiliza WhatsApp como vector de entrega para propagar un nuevo malware en Android, haciéndose pasar por una aplicación relacionada con la defensa.
«Tras la entrega exitosa, la aplicación se instalaría camuflada como una aplicación de contactos», dijo Symantec. «Al ejecutarse, la aplicación solicitaría permisos para SMS, contactos, almacenamiento y teléfono, y posteriormente se ocultaría de vista».
También coincide con el descubrimiento de campañas de malware que distribuyen troyanos bancarios en Android, como Coper, capaz de recolectar información sensible y mostrar superposiciones de ventanas falsas para engañar a los usuarios.
El Centro Nacional de Ciberseguridad de Finlandia (NCSC-FI) reveló que se están utilizando mensajes de smishing para dirigir a los usuarios a malware en Android que roba datos bancarios.
Esta cadena de ataque aprovecha una técnica llamada entrega de ataques orientados al teléfono (TOAD), en la que los mensajes SMS instan a los destinatarios a llamar a un número en relación con una reclamación de cobro de deudas.
Una vez realizada la llamada, el estafador al otro lado informa a la víctima que el mensaje es fraudulento y que debe instalar una aplicación antivirus en su teléfono para protegerse.
También instruyen al llamante a hacer clic en un enlace enviado en un segundo mensaje de texto para instalar el supuesto software de seguridad, que en realidad es malware diseñado para robar credenciales de cuentas bancarias en línea y realizar transferencias de fondos no autorizadas.
A pesar de que el malware específico utilizado en el ataque de Android no fue identificado por el NCSC-FI, se sospecha que es Vultr, descrito por NCC Group al aprovechar un proceso virtualmente idéntico para infiltrarse en dispositivos.
También se han detectado otros malwares basados en Android, como Tambir y Dwphon, con diversas funciones de recolección de datos en dispositivos, con este último dirigido específicamente a teléfonos móviles de fabricantes chinos y diseñado principalmente para el mercado ruso.
«Dwphon se presenta como un componente de la aplicación de actualización del sistema y exhibe muchas características de malware preinstalado en Android», dijo Kaspersky.
Los datos telemétricos analizados por la firma rusa de ciberseguridad muestran que el número de usuarios de Android atacados por malware bancario ha aumentado un 32% en comparación con el año anterior, pasando de 57,219 a 75,521. La mayoría de las infecciones se han reportado en Turquía, Arabia Saudita, España, Suiza e India.
«Aunque el número de usuarios afectados por malware bancario en PC continúa disminuyendo, […] el año 2023 vio un aumento significativo en el número de usuarios que se encuentran con troyanos bancarios móviles», señaló Kaspersky.
Vía The Hacker News
