El último malware de fraude bancario de Android utiliza una táctica inteligente para robar credenciales
Tero Vesalainen / Shutterstock.com
Desafortunadamente, los piratas informáticos siempre encuentran nuevas formas inteligentes de robar o acceder a información segura. Algunos programas maliciosos de Android detectados recientemente, denominados Vultur, utilizan un método nuevo y descarado para recopilar credenciales de inicio de sesión para más de 100 aplicaciones bancarias y criptográficas.
El malware troyano de acceso remoto (RAT), Vultur, obtuvo su nombre de la empresa de seguridad ThreatFabric con sede en Ámsterdam. Utiliza una implementación real de pantalla compartida VNC para registrar la pantalla de un dispositivo, el registro de teclas y reflejar todo en el servidor del atacante. Los usuarios, sin saberlo, ingresan sus credenciales en lo que creen que es una aplicación confiable y los atacantes luego recopilan la información, inician sesión en las aplicaciones en un dispositivo separado y retiran el dinero.
Este método de grabación de pantalla es diferente a los troyanos bancarios de Android anteriores, que se basaban en una estrategia de superposición de HTML. Vulture también depende en gran medida del abuso de los servicios de accesibilidad en el sistema operativo del dispositivo para obtener los permisos necesarios que le permitirán acceder a lo que necesita para ejecutar la recolección de credenciales con éxito.
En el informe de ThreatFabric, supimos que los actores de amenazas pudieron recopilar una lista de las aplicaciones a las que se dirigía Vulture, que se difundieron a través de Google Play Store. Italia, España y Australia fueron las regiones que tuvieron el mayor número de instituciones bancarias afectadas por Vultur. También se atacaron varias billeteras criptográficas.
“Las amenazas bancarias en la plataforma móvil ya no se basan solo en ataques superpuestos bien conocidos, sino que están evolucionando hacia un malware similar a RAT, heredando trucos útiles como detectar aplicaciones en primer plano para iniciar la grabación de pantalla", escribieron los investigadores de ThreatFabric. “Esto trae la amenaza a otro nivel, ya que tales características abren la puerta para el fraude en el dispositivo, eludiendo la detección basada en MO de phishing que requieren fraude realizado desde un nuevo dispositivo. Con Vultur, el fraude puede ocurrir en el dispositivo infectado de la víctima. Estos ataques son escalables y automatizado ya que las acciones para realizar el fraude pueden programarse en el backend del malware y enviarse en forma de comandos secuenciados”.
Si el usuario descarga y abre una de las aplicaciones a las que apunta Vulture, el troyano inicia la sesión de grabación de pantalla. Los usuarios que se den cuenta e intenten eliminar la aplicación maliciosa descubrirán rápidamente que no pueden: un bot dentro del malware hace clic automáticamente en el botón Atrás y envía al usuario de regreso a la pantalla de configuración principal.
La única ventaja que tienen los usuarios es prestar atención al panel de notificaciones, que mostrará que una aplicación llamada "Guardia de protección" está proyectando la pantalla. Para obtener un artículo más detallado sobre Vultur, recomendamos leer el informe de ThreatFabric. De lo contrario, recuerde descargar solo aplicaciones confiables.
a través de Ars Technica