{"id":1359273,"date":"2024-09-13T12:51:21","date_gmt":"2024-09-13T12:51:21","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-troyano-trickmo-para-android-aprovecha-los-servicios-de-accesibilidad-para-cometer-fraudes-bancarios-en-el-dispositivo\/"},"modified":"2024-09-13T12:51:26","modified_gmt":"2024-09-13T12:51:26","slug":"el-troyano-trickmo-para-android-aprovecha-los-servicios-de-accesibilidad-para-cometer-fraudes-bancarios-en-el-dispositivo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-troyano-trickmo-para-android-aprovecha-los-servicios-de-accesibilidad-para-cometer-fraudes-bancarios-en-el-dispositivo\/","title":{"rendered":"El troyano TrickMo para Android aprovecha los servicios de accesibilidad para cometer fraudes bancarios en el dispositivo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Fraude financiero \/ Seguridad m\u00f3vil<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-troyano-TrickMo-para-Android-aprovecha-los-servicios-de-accesibilidad.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Investigadores de ciberseguridad han descubierto una nueva variante de un troyano bancario para Android llamado TrickMo que viene equipado con nuevas capacidades para evadir el an\u00e1lisis y mostrar pantallas de inicio de sesi\u00f3n falsas para capturar las credenciales bancarias de las v\u00edctimas.<\/p>\n<p>&#8220;Los mecanismos incluyen el uso de archivos ZIP malformados en combinaci\u00f3n con JSONPacker&#8221;, dijeron los investigadores de seguridad de Cleafy Michele Roviello y Alessandro Strino. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cleafy.com\/cleafy-labs\/a-new-trickmo-saga-from-banking-trojan-to-victims-data-leak\" target=\"_blank\">dicho<\/a>&#8220;Adem\u00e1s, la aplicaci\u00f3n se instala a trav\u00e9s de una aplicaci\u00f3n dropper que comparte los mismos mecanismos anti-an\u00e1lisis&#8221;.<\/p>\n<p>&#8220;Estas funciones est\u00e1n dise\u00f1adas para evadir la detecci\u00f3n y obstaculizar los esfuerzos de los profesionales de la ciberseguridad para analizar y mitigar el malware&#8221;.<\/p>\n<p>TrickMo, detectado por primera vez por CERT-Bund en septiembre de 2019, tiene antecedentes de atacar dispositivos Android, en particular usuarios en Alemania para robar contrase\u00f1as de un solo uso (OTP) y otros c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) para facilitar el fraude financiero.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-what-is-a-trust-center\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725974414_761_Expertos-identifican-tres-grupos-vinculados-a-China-que-estan-detras.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Se considera que el malware enfocado en dispositivos m\u00f3viles es obra de la ahora desaparecida banda de delitos electr\u00f3nicos TrickBot, que con el tiempo ha mejorado continuamente sus funciones de ofuscaci\u00f3n y antian\u00e1lisis para pasar desapercibida.<\/p>\n<p>Entre sus caracter\u00edsticas se destacan su capacidad para grabar la actividad de la pantalla, registrar pulsaciones de teclas, recopilar fotos y mensajes SMS, controlar de forma remota el dispositivo infectado para realizar fraudes en el dispositivo (ODF) y abusar de la API de servicios de accesibilidad de Android para llevar a cabo ataques de superposici\u00f3n HTML, as\u00ed como realizar clics y gestos en el dispositivo.<\/p>\n<p>La aplicaci\u00f3n maliciosa descubierta por la empresa de ciberseguridad italiana se hace pasar por el navegador web Google Chrome y, cuando se inicia despu\u00e9s de la instalaci\u00f3n, insta a la v\u00edctima a actualizar los Servicios de Google Play haciendo clic en el bot\u00f3n Confirmar.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726231880_304_El-troyano-TrickMo-para-Android-aprovecha-los-servicios-de-accesibilidad.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726231880_304_El-troyano-TrickMo-para-Android-aprovecha-los-servicios-de-accesibilidad.png\" alt=\"Troyano para Android TrickMo\" border=\"0\" data-original-height=\"992\" data-original-width=\"1602\" title=\"Troyano para Android TrickMo\"\/><\/a><\/div>\n<p>Si el usuario contin\u00faa con la actualizaci\u00f3n, se descarga al dispositivo un archivo APK que contiene la carga \u00fatil de TrickMo bajo la apariencia de &#8220;Servicios de Google&#8221;, despu\u00e9s de lo cual se le solicita al usuario que habilite los servicios de accesibilidad para la nueva aplicaci\u00f3n.<\/p>\n<p>&#8220;Los servicios de accesibilidad est\u00e1n dise\u00f1ados para ayudar a los usuarios con discapacidades brind\u00e1ndoles formas alternativas de interactuar con sus dispositivos&#8221;, dijeron los investigadores. &#8220;Sin embargo, cuando son explotados por aplicaciones maliciosas como TrickMo, estos servicios pueden otorgar un amplio control sobre el dispositivo&#8221;.<\/p>\n<p>&#8220;Este permiso elevado permite a TrickMo realizar diversas acciones maliciosas, como interceptar mensajes SMS, gestionar notificaciones para interceptar u ocultar c\u00f3digos de autenticaci\u00f3n y ejecutar ataques de superposici\u00f3n HTML para robar credenciales de usuario. Adem\u00e1s, el malware puede ignorar las protecciones de teclas y aceptar permisos autom\u00e1ticamente, lo que le permite integrarse sin problemas en las operaciones del dispositivo&#8221;.<\/p>\n<p>Adem\u00e1s, el abuso de los servicios de accesibilidad permite al malware deshabilitar funciones de seguridad cruciales y actualizaciones del sistema, otorgar permisos autom\u00e1ticamente a voluntad y evitar la desinstalaci\u00f3n de ciertas aplicaciones.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726231881_21_El-troyano-TrickMo-para-Android-aprovecha-los-servicios-de-accesibilidad.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726231881_21_El-troyano-TrickMo-para-Android-aprovecha-los-servicios-de-accesibilidad.png\" alt=\"Troyano para Android TrickMo\" border=\"0\" data-original-height=\"1280\" data-original-width=\"1490\" title=\"Troyano para Android TrickMo\"\/><\/a><\/div>\n<p>El an\u00e1lisis de Cleafy tambi\u00e9n descubri\u00f3 configuraciones err\u00f3neas en el servidor de comando y control (C2) que hicieron posible acceder a 12 GB de datos confidenciales extra\u00eddos de los dispositivos, incluidas credenciales e im\u00e1genes, sin requerir ninguna autenticaci\u00f3n.<\/p>\n<p>El servidor C2 tambi\u00e9n aloja los archivos HTML utilizados en los ataques de superposici\u00f3n. Estos archivos incluyen p\u00e1ginas de inicio de sesi\u00f3n falsas para varios servicios, entre ellos bancos como ATB Mobile y Alpha Bank y plataformas de criptomonedas como Binance.<\/p>\n<p>La falla de seguridad no solo resalta el error de seguridad operativa (OPSEC) por parte de los actores de amenazas, sino que tambi\u00e9n pone los datos de las v\u00edctimas en riesgo de ser explotados por otros actores de amenazas.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La gran cantidad de informaci\u00f3n expuesta desde la infraestructura C2 de TrickMo podr\u00eda aprovecharse para cometer robos de identidad, infiltrarse en varias cuentas en l\u00ednea, realizar transferencias de fondos no autorizadas e incluso realizar compras fraudulentas. Peor a\u00fan, los atacantes podr\u00edan secuestrar las cuentas y bloquear el acceso de las v\u00edctimas restableciendo sus contrase\u00f1as.<\/p>\n<p>&#8220;Usando informaci\u00f3n e im\u00e1genes personales, el atacante puede crear mensajes convincentes que enga\u00f1en a las v\u00edctimas para que divulguen a\u00fan m\u00e1s informaci\u00f3n o ejecuten acciones maliciosas&#8221;, se\u00f1alaron los investigadores.<\/p>\n<p>\u201cLa explotaci\u00f3n de datos personales tan amplios produce da\u00f1os financieros y de reputaci\u00f3n inmediatos y consecuencias a largo plazo para las v\u00edctimas, lo que hace que la recuperaci\u00f3n sea un proceso complejo y prolongado\u201d.<\/p>\n<p>La revelaci\u00f3n se produce mientras Google ha estado tapando los agujeros de seguridad en torno a la carga lateral para permitir que los desarrolladores externos&#8230; <a rel=\"nofollow noopener\" href=\"https:\/\/www.androidauthority.com\/play-integrity-sideloading-detection-3480639\/\" target=\"_blank\">determinar<\/a> Si sus aplicaciones se cargan lateralmente mediante el <a rel=\"nofollow noopener\" href=\"https:\/\/developer.android.com\/google\/play\/integrity\" target=\"_blank\">API de integridad de juego<\/a> y, de ser as\u00ed, exigir a los usuarios que descarguen las aplicaciones de Google Play para poder seguir utiliz\u00e1ndolas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/trickmo-android-trojan-exploits.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de septiembre de 2024\ue804Ravie LakshmananFraude financiero \/ Seguridad m\u00f3vil Investigadores de ciberseguridad han descubierto una nueva variante<\/p>\n","protected":false},"author":1,"featured_media":1359274,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[99408,4657,4656,8514,6132,4661,33197,3346,4664,6099,60183,4667,36,239182,4654,239508,4658,4659,4653,18,246983,4665,246984,2204,253257,8665,246982,239484],"class_list":["post-1359273","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-accesibilidad","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-android","tag-aprovecha","tag-ataques-ciberneticos","tag-bancarios","tag-cometer","tag-como-hackear","tag-dispositivo","tag-fraudes","tag-las-noticias-de-los-hackers","tag-los","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-servicios","tag-trickmo","tag-troyano","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1359273","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1359273"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1359273\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1359274"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1359273"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1359273"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1359273"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}