Mucho cuidado si habías instalado alguna de estas aplicaciones en tu móvil: contienen un peligroso troyano.
La semana no ha comenzado especialmente con buen pie para los usuarios de Android. Principalmente, para aquellos que residen en regiones de Europa, incluyendo España o Italia.
Los investigadores especializados en ciberseguridad de ThreatFabric han descubierto una nueva amenaza en Google Play Store, en forma de troyano disfrazado de aplicaciones aparentemente fiables, que consiguieron saltarse las medidas de protección de la tienda para acabar llegando a los smartphones de cientos de miles de personas.
El troyano en cuestión es ya un viejo conocido por los usuarios de Android. Se trata de SharkBot, uno de los malware más peligrosos y extendidos de todo el mundo, cuyo principal objetivo es el de hacerse con los datos bancarios de sus víctimas para acabar robando el dinero de sus cuentas.
SharkBot vuelve al ataque con cinco nuevas aplicaciones
Los atacantes han llevado a cabo una nueva campaña de ataques dirigida a robar datos de usuarios de distintos países de Europa. Los investigadores se han centrado en los ataques enfocados hacia usuarios residentes en Italia, pero explican que la estrategia ha sido la misma en todas las regiones.
El primer paso del ataque consiste en conseguir publicar en Google Play Store una aplicación sin código malicioso en su interior, que ofrezca algún tipo de utilidad al usuario. Desde Threat Fabric se centran en la app «Codice Fiscale», una app supuestamente dirigida a que los ciudadanos italianos puedan calcular sus impuestos anuales. Dicha app contaba, en el momento de su descubrimiento, con más de 10.000 instalaciones a través de Google Play.
Una vez descargada en el dispositivo de la futura víctima, la aplicación comprobaba si el código de país de la tarjeta SIM del teléfono se corresponden a los que el atacante requiere para poder llevar a cabo su estrategia. En este caso, se prueba si el código de la SIM corresponde al italiano (it).
En caso de cumplir con el requisito, la aplicación avisaría al usuario sobre la existencia de una actualización de la app disponible. Sin embargo, en lugar de dirigir a la página de la app en Google Play, se carga una página web que simula la interfaz de la Play Store, con el objetivo de incitar al usuario a descargar la supuesta actualización. Es entonces cuando se descarga e instala el archivo con el troyano en su interior.
Con el móvil de la víctima ya infectado, el troyano puede llevar a cabo su ataque, que consiste en obtener datos sensibles al consultar la lista de contactos del usuario, interceptar mensajes de texto recibidos y, lo más peligroso, hacerse con las credenciales de inicio de sesión a aplicaciones de bancos, con el objetivo de acabar robando el dinero de sus cuentas.
Se han descubierto cinco aplicaciones diferentes que forman parte de esta amenaza. Además de Italia, algunas de las apps mencionadas están dirigidas a infectar los dispositivos de ciudadanos de Estados Unidos, Reino Unido, Alemania, Austria, Australia, España y Polonia. La lista completa de apps está disponible a continuación:
- Recover Audio, Images & Videos – +100000 descargas
- Codice Fiscale 2022 – +10000 descargas
- Zetter Authentication – +10000 descargas
- File Manager Small, Lite – +1000 descargas
- My Finances Tracker – +1000 descargas
Es muy importante asegurarse de no tener ninguna de las aplicaciones anteriores instaladas en nuestros dispositivos. Y, en caso de tenerlas, se recomienda deshacerse de ellas lo antes posible y cambiar las claves de acceso a entidades bancarias que el troyano hubiera podido conseguir a través de sus ataques. Asimismo, para prevenir futuros ataques, se sugiere descargar aplicaciones únicamente de Google Play Store y evitar fuentes de terceros.
Ver Comentarios
Fuente info
Autor: Christian Collado