Para eludir las medidas de seguridad de Google en Play Store, los piratas informáticos empaquetan malware como aplicaciones anodinas. Sin embargo, los troyanos bancarios acechan detrás de ellos.
Los ciberdelincuentes utilizan cada vez más las llamadas aplicaciones cuentagotas para instalar malware en los teléfonos inteligentes. Estas aplicaciones están disponibles en Google Play Store y parecen ser legítimas. Solo cuando solicitan una actualización, comienza la instalación de malware, incluidos los troyanos bancarios que desean acceder a los datos de la cuenta.
La empresa holandesa de soporte informático Threat Fabric ha identificado cinco aplicaciones que usan una actualización falsa para instalar troyanos bancarios en teléfonos inteligentes Android. Estas son dos campañas a gran escala. Uno de ellos funciona con el conocido troyano «Vultur», los otros con el más nuevo «Sharkbot».
El troyano bancario «Sharkbot» también ataca a los bancos alemanes
Threat Fabric solo identificó una nueva campaña que involucraba al troyano bancario «Sharkbot» a principios de octubre. Afecta principalmente a los usuarios italianos de Android, pero también hay casos en Alemania y otros países.
La aplicación cuentagotas Codice Fiscale, diseñada para ayudar a los usuarios italianos a calcular sus impuestos, se ha descargado más de 10.000 veces. Cuando abre la aplicación, verifica el país en el que está registrada la tarjeta SIM. Solo si se trata de una SIM italiana, «Codice Fiscale» intenta instalar «Sharkbot». Para hacer esto, abre una página falsa de Play Store que muestra una actualización, la llamada superposición. Sin embargo, en lugar de la actualización, el troyano bancario llega al teléfono inteligente.
Una segunda aplicación con poco más de 1000 instalaciones también está dirigida a usuarios en Alemania y otros países. Esta es la aplicación File Manager Small, Lite. El proceso de instalación de «Sharkbot» es idéntico. Luego, el troyano intenta obtener los datos bancarios de aplicaciones como N26, PayPal, Targobank, Sparkasse, Postbank y Commerzbank en el teléfono inteligente.
Incluso más aplicaciones contienen troyanos «Vultur»
Threat Fabric ha identificado tres aplicaciones capaces de instalar el troyano bancario Vultur en los teléfonos inteligentes Android. La empresa descubrió por primera vez el troyano en el verano de 2021. Las aplicaciones cuentagotas que contienen el malware se agrupan en el «Proyecto Brunhilda». En general, las tres aplicaciones que ahora se han descubierto han alcanzado más de 110,000 instalaciones desde Play Store. Vienen en forma de autenticadores de seguridad y herramientas de recuperación.
Normalmente, las aplicaciones cuentagotas realizan la función indicada. Sin embargo, inmediatamente después de la instalación, se comunican con un servidor remoto para registrar la instalación exitosa. El servidor envía un comando a la aplicación, que luego le solicita que instale una actualización. Si hace clic en él, «Vultur» se instala automáticamente en el teléfono inteligente. El troyano es un registrador de teclas que puede rastrear entradas en la pantalla del teléfono inteligente. Por ejemplo, si ingresa la contraseña de la aplicación bancaria, el malware puede leerla.
Los usuarios de Android deben eliminar estas aplicaciones de inmediato
Desde entonces, las aplicaciones maliciosas se informaron a Google y se eliminaron de la App Store. Sin embargo, no desaparecen automáticamente de los smartphones de los usuarios. Como es habitual en estos casos, usted mismo debe eliminar las aplicaciones afectadas del dispositivo final.
Aquí está la lista de aplicaciones que pueden contener troyanos bancarios «Vultur» o «Sharkbot»:
tiburónbot: Código Fiscal 2022; Administrador de archivos Pequeño, Lite
buitre: Recuperar audio, imágenes y videos; Autenticación Zetter; Rastreador de mis finanzas
Cómo protegerse de los troyanos bancarios
Desafortunadamente, no existe una protección general contra el método de superposición de Sharkbot o el método keylogger de Vultur. Sin embargo, TECHBOOK tiene algunos consejos sobre qué signos pueden reconocerse las aplicaciones maliciosas:
- Cuando una aplicación solicita tus datos de inicio de sesión aunque ya hayas iniciado sesión
- Acceder a ventanas emergentes que no contienen el nombre de una aplicación
- Acceder a solicitudes de aplicaciones que no deberían tener acceso a los permisos solicitados, como una aplicación de calculadora que desea acceder al GPS
- Faltas de ortografía y errores gráficos en la interfaz de usuario
- Botones y enlaces que no hacen referencia a nada
- El botón Atrás o el gesto no funcionan correctamente