El ataque de software malicioso amenaza las plataformas financieras digitales y los repositorios de almacenamiento en línea.

Los investigadores de ciberseguridad han encontrado cuatro familias activas de malware para Android que tienen como objetivo más de 800 aplicaciones, incluidas carteras de criptomonedas y aplicaciones bancarias. Este malware utiliza métodos que la mayoría de las herramientas de seguridad tradicionales no pueden detectar.

El equipo zLabs de Zimperium publicó resultados que rastrean los troyanos conocidos como RecruitRat, SaferRat, Astrinox y Massiv.

Según la investigación de la compañía, cada familia tiene su propia red de comando y control que utilizan para robar información de inicio de sesión, hacerse cargo de transacciones financieras y obtener datos de usuarios de dispositivos infectados.

Las aplicaciones bancarias y criptográficas enfrentan nuevas amenazas de múltiples malwares

Las familias de malware son una amenaza directa para cualquiera que administre criptomonedas en Android.

Una vez instalados, los troyanos pueden colocar pantallas de inicio de sesión falsas encima de aplicaciones bancarias y criptográficas reales, robando contraseñas y otra información privada en tiempo real. Luego, el malware coloca una página HTML falsa sobre la interfaz real de la aplicación, creando lo que la empresa llamó "una fachada engañosa y muy convincente".

"Al utilizar los Servicios de Accesibilidad para monitorear el primer plano, el malware detecta el momento exacto en que una víctima inicia una aplicación financiera", escribieron investigadores de seguridad de Zimperium.

Según el informe, los troyanos pueden hacer más que simplemente robar credenciales. También pueden capturar contraseñas de un solo uso, transmitir la pantalla de un dispositivo a los atacantes, ocultar los íconos de sus propias aplicaciones e impedir que las personas las desinstalen.

Cada campaña utiliza un cebo diferente para que la gente caiga en la trampa.

SaferRat se difundió mediante el uso de sitios web falsos que prometían acceso gratuito a servicios de transmisión premium. RecruitRat ocultó su carga útil como parte de un proceso de solicitud de empleo, enviando objetivos a sitios de phishing que les pedían que descargaran un archivo APK malicioso.

Astrinox utilizó el mismo tipo de método basado en el reclutamiento, utilizando el dominio xhire[.]cc. Dependiendo del dispositivo utilizado para visitar ese sitio, mostraba contenido diferente.

A los usuarios de Android se les pidió que descargaran un APK y los usuarios de iOS vieron una página que se parecía a la App Store de Apple. Sin embargo, los investigadores de seguridad no encontraron pruebas de que iOS fuera realmente pirateado.

No fue posible confirmar cómo se distribuyó Massiv durante el ciclo de investigación.

Los cuatro troyanos utilizaron infraestructura de phishing, estafas por mensajes de texto e ingeniería social que aprovecharon la necesidad de las personas de actuar rápidamente o su curiosidad para que descargaran aplicaciones que eran dañinas.

El criptomalware evade la detección

Las campañas tienen como objetivo eludir las herramientas de seguridad.

Los investigadores descubrieron que las familias de malware utilizan técnicas avanzadas de antianálisis y manipulación estructural de los paquetes de aplicaciones (APK) de Android para mantener lo que la empresa llamó "tasas de detección cercanas a cero frente a los mecanismos de seguridad tradicionales basados ​​en firmas".

Las comunicaciones de red también se mezclan con el tráfico regular. Los troyanos utilizan conexiones HTTPS y WebSocket para comunicarse con sus servidores de comando. Algunas versiones agregan capas adicionales de cifrado además de estas conexiones.

Otra cosa importante es la perseverancia. Los troyanos bancarios modernos de Android ya no utilizan infecciones simples de una sola etapa. En cambio, utilizan procesos de instalación de varias etapas destinados a sortear el cambiante modelo de permisos de Android, que ha dificultado que las aplicaciones hagan cosas sin el permiso explícito del usuario.

El informe no identificó billeteras o intercambios criptográficos particulares dentro de las más de 800 aplicaciones específicas. Pero debido a los ataques de superposición, la interceptación de códigos de acceso y la transmisión de pantalla, cualquier aplicación criptográfica basada en Android podría estar en riesgo si un usuario instala un APK malicioso desde fuera de Google Play Store.

La descarga de aplicaciones desde enlaces en mensajes de texto, ofertas de trabajo o sitios web promocionales sigue siendo una de las formas garantizadas para que el malware móvil ingrese a un teléfono inteligente.

Las personas que administran sus criptomonedas en dispositivos Android solo deben usar tiendas de aplicaciones oficiales y tener cuidado con los mensajes emergentes que les piden que descarguen algo.