El malware de fraude bancario de Android conocido como tiburónbot ha vuelto a asomar la cabeza en la tienda oficial de Google Play, haciéndose pasar por administradores de archivos para eludir las restricciones del mercado de aplicaciones.
La mayoría de los usuarios que descargaron las aplicaciones maliciosas se encuentran en el Reino Unido e Italia, la empresa rumana de ciberseguridad Bitdefender. dijo en un análisis publicado esta semana.
SharkBot, descubierto por primera vez a fines de 2021 por Cleafy, es un periódico amenaza móvil distribuida tanto en Google Play Store como en otras tiendas de aplicaciones de terceros.
Uno de los principales objetivos del troyano es iniciar transferencias de dinero desde dispositivos comprometidos a través de una técnica llamada «Sistema de transferencia automática» (ATS), en el que se intercepta una transacción iniciada a través de una aplicación bancaria para intercambiar la cuenta del beneficiario con una cuenta controlada por el actor en segundo plano.
Es capaz de servir una superposición de inicio de sesión falsa cuando los usuarios intentan abrir aplicaciones bancarias legítimas, robando las credenciales en el proceso.
A menudo, estas aplicaciones ofrecen una funcionalidad aparentemente inofensiva, disfrazada de software antivirus y limpiadores para colarse en Google Play Store. Pero también funcionan como cuentagotas que, una vez instalados en el dispositivo, pueden obtener la carga útil del malware.
Las aplicaciones cuentagotas, ahora eliminadas, están a continuación:
- X-File Manager (com.victorsoftice.llc) – 10,000+ descargas
- FileVoyager (com.potsepko9.FileManagerApp) – Más de 5000 descargas
- LiteCleaner M (com.ltdevelopergroups.litecleaner.m) – Más de 1000 descargas
LiteCleaner M todavía está disponible para su descarga desde una tienda de aplicaciones de terceros llamada Apksos, que también alberga un cuarto artefacto SharkBot con el nombre «Phone AID, Cleaner, Booster» (com.sidalistudio.developer.app).
La aplicación X-File Manager, a la que solo pueden acceder los usuarios de Italia, atrajo más de 10 000 descargas antes de que fuera eliminada. Con Google tomando medidas drásticas contra el abuso de permisos, la elección del actor de amenazas de usar un administrador de archivos como señuelo no es sorprendente.
Eso es porque la Política del programa para desarrolladores de Google restringe el permiso para instalar paquetes externos (REQUEST_INSTALL_PACKAGES) a un puñado de categorías de aplicaciones: navegadores web, mensajería instantánea que admite archivos adjuntos, administradores de archivos, administración de dispositivos empresariales, copia de seguridad y restauración, y transferencia de dispositivos.
Invariablemente, se abusa de este permiso para descargar e instalar malware desde un servidor remoto. Algunas de las aplicaciones bancarias objetivo incluyen Bank of Ireland, Bank of Scotland, Barclays, BNL, HSBC UK, Lloyds Bank, Metro Bank y Santander.
«La aplicación [i.e., the dropper] realiza comprobaciones anti-emulador y se dirige a usuarios de Gran Bretaña e Italia al verificar si la SIM ISO corresponde a TI o GB», dijeron los investigadores de Bitdefender.
Se recomienda a los usuarios que hayan instalado las aplicaciones antes mencionadas que las eliminen y cambien las contraseñas de sus cuentas bancarias de inmediato. También se recomienda a los usuarios que habiliten Play Store Protegery analice las calificaciones y reseñas de las aplicaciones antes de descargarlas.