Blog by Root View

Encontrá todas las novedades sobre la ciberseguridad, infraestructura y desarrollo.

Aplicación para Android infectó miles de dispositivos con el malware SharkBot

El malware de fraude bancario de Android conocido como SharkBot ha vuelto a asomar la cabeza en la tienda oficial de Google Play, haciéndose pasar por administradores de archivos para eludir las restricciones del mercado de aplicaciones.

La mayoría de los usuarios que descargaron las aplicaciones maliciosas se encuentran en el Reino Unido e Italia, dijo la empresa rumana de ciberseguridad Bitdefender en un análisis publicado esta semana.

SharkBot, descubierto por primera vez a fines de 2021 por Cleafy, es una amenaza móvil recurrente distribuida tanto en Google Play Store como en otras tiendas de aplicaciones de terceros.

Uno de los objetivos principales del troyano es iniciar transferencias de dinero desde dispositivos comprometidos a través de una técnica llamada “Sistema de transferencia automática” (ATS), en la que se intercepta una transacción activada a través de una aplicación bancaria para intercambiar la cuenta del beneficiario con una cuenta controlada por el actor en el fondo.

También es capaz de servir una superposición de inicio de sesión falsa cuando los usuarios intentan abrir aplicaciones bancarias legítimas, robando las credenciales en el proceso.

A menudo, estas aplicaciones ofrecen una funcionalidad aparentemente inofensiva, disfrazada de software antivirus y limpiadores para colarse en Google Play Store. Pero también funcionan como cuentagotas que, una vez instalados en el dispositivo, pueden obtener la carga útil del malware.

Las aplicaciones cuentagotas, ahora eliminadas, están a continuación:

  • X-File Manager (com.victorsoftice.llc) – 10,000+ downloads
  • FileVoyager (com.potsepko9.FileManagerApp) – 5,000+ downloads
  • LiteCleaner M (com.ltdevelopergroups.litecleaner.m) – 1,000+ downloads

LiteCleaner M todavía está disponible para su descarga desde una tienda de aplicaciones de terceros llamada Apksos, que también alberga un cuarto artefacto SharkBot con el nombre “Phone AID, Cleaner, Booster” (com.sidalistudio.developer.app).

La aplicación X-File Manager, a la que solo podían acceder los usuarios de Italia, atrajo más de 10 000 descargas antes de que fuera eliminada. Con Google tomando medidas drásticas contra el abuso de permisos, la elección del actor de amenazas de usar un administrador de archivos como señuelo no es sorprendente.

Esto se debe a que la Política del programa para desarrolladores de Google restringe el permiso para instalar paquetes externos (REQUEST_INSTALL_PACKAGES) a un puñado de categorías de aplicaciones: navegadores web, mensajería instantánea que admite archivos adjuntos, administradores de archivos, administración de dispositivos empresariales, copia de seguridad y restauración, y transferencia de dispositivos.

Invariablemente, se abusa de este permiso para descargar e instalar malware desde un servidor remoto. Algunas de las aplicaciones bancarias objetivo incluyen Bank of Ireland, Bank of Scotland, Barclays, BNL, HSBC U.K., Lloyds Bank, Metro Bank y Santander.

“La aplicación [es decir, el cuentagotas] realiza comprobaciones anti-emulador y se dirige a usuarios de Gran Bretaña e Italia al verificar si la SIM ISO corresponde a TI o GB”, dijeron los investigadores de Bitdefender.

Se recomienda a los usuarios que hayan instalado las aplicaciones antes mencionadas que las eliminen y cambien las contraseñas de sus cuentas bancarias de inmediato. También se recomienda a los usuarios que habiliten Play Store Protect y analicen las calificaciones y reseñas de las aplicaciones antes de descargarlas.

Fuente: The Hacker News

Total
0
Shares
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Prev
Bugs del firmware UEFI de Lenovo afectan a millones de portátiles

Bugs del firmware UEFI de Lenovo afectan a millones de portátiles

Se han descubierto tres vulnerabilidades de seguridad de interfaz de firmware

Next
Nueva variante de RansomExx Ransomware en lenguage Rust

Nueva variante de RansomExx Ransomware en lenguage Rust

Los operadores del ransomware RansomExx se han convertido en los últimos en

También te podría gustar...
Total
0
Share