Dos compañías de ciberseguridad descubrieron la presencia de los troyanos bancarios TeaBot y FluBot en una serie de aplicaciones maliciosas para celulares con sistema Android que se hacen pasar por otras apps reales, especialmente de bancos.
TeaBot es un troyano bancario que ataca principalmente a bancos europeos y que está teniendo especial incidencia en España. Es capaz de robar las credenciales de las víctimas, acceder a sus SMS y controlar de forma remota el teléfono. Se cree que la estafa podría expandirse a América Latina y Estados Unidos.
Los ciberdelincuentes imitan las aplicaciones de Play Store con el fin de engañar a sus víctimas para que descarguen e instalen sus versiones modificadas.
La empresa de seguridad informática Bitdefender identificó cinco nuevas aplicaciones maliciosas de Android que contienen el troyano bancario Teabot y se hacen pasar por las reales.
Troyano por mensajería
FluBot es otro troyano bancario que, en este caso, se hace pasar por una empresa de mensajería para robar los datos bancarios de sus víctimas. Esta campaña está teniendo un alto impacto en países europeos, sobre todo en Alemania, España, Italia y Reino Unido.
El fraude comienza con la llegada de un SMS. Un remitente desconocido dice ser una empresa de mensajería (DHL Express Mobile, FedEx Mobile y Correos, entre otras) que no pudo entregar un paquete. Para recuperarlo, se invita a seguir un enlace y descargar una aplicación maliciosa para hacerse con el control del teléfono Android.
En esta amenaza, si el atacante logra engañar a una víctima a través de su campaña maliciosa, el estafador obtendrá acceso al dispositivo Android por completo. Esto incluye la posibilidad de robar números de tarjetas de crédito y credenciales de acceso a los servicios de banca online, también conocidos como banca electrónica o homebanking.
Para evitar que sea eliminado, el atacante implementa mecanismos para evitar que se active la protección incorporada que ofrece el sistema operativo Android y evita que se instalen algunas soluciones de seguridad de terceros; algo que probablemente muchos usuarios intentarán para eliminar el software malicioso de sus equipos, informó otra empresa de seguridad informática, ESET.
Esta aplicación maliciosa deshabilita Google Play Protect para evitar la detección por parte de la seguridad incorporada del sistema operativo. Además, debido a la cantidad de permisos otorgados, el actor de amenazas puede bloquear la instalación de muchas soluciones antimalware de terceros.
En su análisis, Bitdefender descubrió más de cien dominios diferentes utilizados en la campaña. Estos dominios pertenecen a sitios pirateados o secuestrados, donde los actores de amenazas inyectaron su malware para propagarse aún más.
En muchos casos, se trata de sitios web y dominios legítimos que han sido atacados con éxito por ciberdelincuentes a través de vulnerabilidades existentes, lo que les permite inyectar enlaces de descarga de ‘malware’.
