Nuevas campañas de troyanos atacan cientos de billeteras de criptomonedas y aplicaciones bancarias

Investigadores de ciberseguridad han descubierto cuatro familias activas de malware para Android que atacan a más de 800 aplicaciones, incluyendo monederos de criptomonedas y aplicaciones bancarias. Este malware utiliza métodos que la mayoría de las herramientas de seguridad tradicionales no pueden detectar.

El equipo zLabs de Zimperium publicó los resultados tracde los troyanos conocidos como RecruitRat, SaferRat, Astrinox y Massiv.

Según la investigación de la empresa, cada familia tiene su propia red de mando y control que utiliza para robar información de inicio de sesión, tomar el control de las transacciones financieras y obtener datos de los usuarios de los dispositivos infectados.

Las aplicaciones de criptomonedas y banca se enfrentan a nuevas amenazas procedentes de diversos programas maliciosos

Las familias de malware representan una amenaza directa para cualquiera que gestione criptomonedas en Android.

Una vez instalados, los troyanos pueden superponer pantallas de inicio de sesión falsas sobre aplicaciones bancarias y de criptomonedas legítimas, robando contraseñas y otra información privada en tiempo real. El malware luego coloca una página HTML falsa sobre la interfaz de la aplicación real, creando lo que la compañía denominó "una fachada engañosa y muy convincente"

“Mediante el uso de los Servicios de Accesibilidad para monitorizar el primer plano, el malware detecta el momento exacto en que la víctima abre una aplicación financiera”, escribieron los investigadores de seguridad de Zimperium.

Según el informe, los troyanos pueden hacer más que robar credencialesdentTambién pueden capturar códigos de acceso de un solo uso, transmitir la pantalla de un dispositivo a los atacantes, ocultar los iconos de sus propias aplicaciones e impedir que los usuarios las desinstalen.

Cada campaña utiliza un cebo diferente para conseguir que la gente caiga en la trampa.

SaferRat se propagó mediante sitios web falsos que prometían acceso gratuito a servicios de streaming premium. RecruitRat ocultó su código malicioso como parte de un proceso de solicitud de empleo, redirigiendo a las víctimas a sitios de phishing que les pedían que descargaran un archivo APK malicioso.

Astrinox utilizó el mismo método de reclutamiento, empleando el dominio xhire[.]cc. Dependiendo del dispositivo utilizado para visitar el sitio, mostraba contenido diferente.

A los usuarios de Android se les pidió que descargaran un archivo APK, y los usuarios de iOS vieron una página similar a la de Apple . Sin embargo, los investigadores de seguridad no encontraron pruebas de que iOS hubiera sido hackeado.

No fue posible confirmar cómo se distribuyó Massiv durante el ciclo de investigación.

Los cuatro troyanos utilizaron infraestructura de phishing, estafas por mensajes de texto e ingeniería social que se aprovechaban de la necesidad de las personas de actuar rápidamente o de su curiosidad para conseguir que instalaran aplicaciones dañinas.

El malware criptográfico evade la detección

Estas campañas pretenden eludir las herramientas de seguridad.

Los investigadores descubrieron que las familias de malware utilizan técnicas avanzadas de anti-análisis y manipulación estructural de los paquetes de aplicaciones de Android (APK) para mantener lo que la compañía denominó "tasas de detección casi nulas frente a los mecanismos de seguridad tradicionales basados ​​en firmas"

Las comunicaciones de red también se mezclan con el tráfico habitual. Los troyanos utilizan conexiones HTTPS y WebSocket para comunicarse con sus servidores de comando. Algunas versiones añaden capas adicionales de cifrado a estas conexiones.

Otro aspecto importante es la persistencia. Los troyanos bancarios modernos para Android ya no utilizan infecciones simples de una sola etapa. En cambio, emplean procesos de instalación en varias etapas diseñados para eludir el modelo de permisos cambiante de Android, que ha dificultado que las aplicaciones realicen acciones sin el permiso explícito del usuario.

El informe no identificódentde criptomonedas específicos exchanges dentro de las más de 800 aplicaciones objetivo. Sin embargo, debido a ataques de superposición, interceptación de códigos de acceso y transmisión de pantalla, cualquier aplicación de criptomonedas para Android podría estar en riesgo si un usuario instala un archivo APK malicioso fuera de Google Play Store.

Descargar aplicaciones desde enlaces en mensajes de texto, ofertas de trabajo o sitios web promocionales sigue siendo una de las formas más seguras de que el malware móvil se introduzca en un teléfono inteligente.

Las personas que gestionan sus criptomonedas en dispositivos Android solo deben usar las tiendas de aplicaciones oficiales y tener cuidado con los mensajes emergentes que les piden que descarguen algo.