Los usuarios de teléfonos inteligentes Android en la India son el objetivo de una nueva campaña de malware que emplea señuelos de ingeniería social para instalar aplicaciones fraudulentas que son capaces de recopilar datos confidenciales.
«Al utilizar plataformas de redes sociales como WhatsApp y Telegram, los atacantes envían mensajes diseñados para atraer a los usuarios para que instalen una aplicación maliciosa en su dispositivo móvil haciéndose pasar por organizaciones legítimas, como bancos, servicios gubernamentales y servicios públicos», dijo Abhishek Pustakala, investigador de inteligencia de amenazas de Microsoft. Harshita Tripathi y Shivang Desai dicho en un análisis del lunes.
El objetivo final de la operación es capturar datos bancarios, información de tarjetas de pago, credenciales de cuentas y otros datos personales.
Las cadenas de ataque implican compartir archivos APK maliciosos a través de mensajes de redes sociales enviados en WhatsApp y Telegram, presentándolos falsamente como aplicaciones bancarias e induciendo una sensación de urgencia al afirmar que las cuentas bancarias de los objetivos serán bloqueadas a menos que actualicen su número de cuenta permanente (PAN). ) emitido por el Departamento de Impuestos sobre la Renta de la India a través de una aplicación falsa.
Tras la instalación, la aplicación insta a la víctima a ingresar la información de su cuenta bancaria, el PIN de la tarjeta de débito, los números de la tarjeta PAN y las credenciales bancarias en línea, que posteriormente se transmiten a un servidor de comando y control (C2) controlado por el actor y a un hardware. número de teléfono codificado.
«Una vez que se envían todos los detalles solicitados, aparece una nota sospechosa que indica que los detalles se están verificando para actualizar KYC», dijeron los investigadores.
«Se le indica al usuario que espere 30 minutos y que no elimine ni desinstale la aplicación. Además, la aplicación tiene la funcionalidad de ocultar su ícono, lo que hace que desaparezca de la pantalla de inicio del dispositivo del usuario mientras aún se ejecuta en segundo plano».
Otro aspecto notable del malware es que solicita al usuario que le otorgue permiso para leer y enviar mensajes SMS, lo que le permite interceptar contraseñas de un solo uso (OTP) y enviar los mensajes de las víctimas al número de teléfono del actor de la amenaza a través de SMS.
También se ha descubierto que variantes del troyano bancario descubierto por Microsoft roban datos de tarjetas de crédito junto con información de identificación personal (PII) y mensajes SMS entrantes, exponiendo a los usuarios desprevenidos a fraude financiero.
Sin embargo, vale la pena señalar que para que estos ataques tengan éxito, los usuarios deberán habilitar la opción de instalar aplicaciones de fuentes desconocidas fuera de Google Play Store.
«Las infecciones por troyanos bancarios móviles pueden plantear riesgos significativos para la información personal, la privacidad, la integridad del dispositivo y la seguridad financiera de los usuarios», dijeron los investigadores. «Estas amenazas a menudo pueden disfrazarse de aplicaciones legítimas y desplegar tácticas de ingeniería social para lograr sus objetivos y robar datos confidenciales y activos financieros de los usuarios».
El desarrollo se produce cuando el ecosistema Android también ha sido atacado por el troyano SpyNote, que ha usuarios específicos de Roblox bajo la apariencia de un mod para desviar información confidencial.
En otro caso, se utilizan sitios web falsos para adultos como señuelo para atraer a los usuarios a descargar un malware para Android llamado Enchant, que se centra específicamente en robar datos de carteras de criptomonedas.
«El malware Enchant utiliza la función de servicio de accesibilidad para apuntar a carteras de criptomonedas específicas, incluidas imToken, OKX, Bitpie Wallet y TokenPocket», Cyble dicho en un informe reciente.
«Su objetivo principal es robar información crítica como direcciones de billetera, frases mnemotécnicas, detalles de activos de billetera, contraseñas de billetera y claves privadas de dispositivos comprometidos».
El mes pasado, Doctor Web descubierto varias aplicaciones maliciosas en Google Play Store que mostraban anuncios intrusivos (HiddenAds), suscribían a usuarios a servicios premium sin su conocimiento o consentimiento (Joker) y promovían estafas de inversión haciéndose pasar por software comercial (FakeApp).
La avalancha de malware para Android ha llevado a Google a anunciar nuevas funciones de seguridad, como el escaneo a nivel de código en tiempo real para aplicaciones recién encontradas. También lanzó configuraciones restringidas con Android 13 que prohíbe que las aplicaciones obtengan acceso a configuraciones críticas del dispositivo (por ejemplo, accesibilidad) a menos que el usuario lo habilite explícitamente.
No es sólo Google. Samsung, a finales de octubre de 2023, presentó un nuevo Bloqueador automático opción que evita la instalación de aplicaciones de fuentes distintas a Google Play Store y Galaxy Store, y bloquea comandos e instalaciones de software dañinos a través del puerto USB.
Para evitar descargar software malicioso de Google Play y otras fuentes confiables, se recomienda a los usuarios verificar la legitimidad de los desarrolladores de aplicaciones, examinar las revisiones y examinar los permisos solicitados por las aplicaciones.