Descubren un troyano bancario en Android que se hacía pasar por una app de grabación

Que los troyanos bancarios contra Android no ocupen el primer plano informativo no quiere decir que hayan desaparecido, aunque el hecho de que Google esté poniendo cada vez más limitaciones hace que los actores maliciosos lo tengan más difícil, sobre todo cuando intentan colar una aplicación maliciosa en la Play Store.

Lukas Stefanko, investigador en seguridad de ESET, ha descubierto un nuevo troyano bancario en la Play Store que ha estado afectando a usuarios de Android desprevenidos. La aplicación maliciosa ha sido descargada por más de 10.000 usuarios y ha conseguido robar más de 10.000 euros. Al parecer, el troyano estaba equipado con un mecanismo que le permitía superponer una interfaz falsa sobre una aplicación legítima, apuntando sobre todo contra personas de Alemania, Polonia y República Checa.

El troyano bancario actuaba como una aplicación llamada QRecorder, la cual se hacía pasar por una que grababa llamadas entrantes y salientes del dispositivo. Sin embargo, luego pedía permisos al usuario acceder a través de las otras aplicaciones en busca de funcionalidades para presuntamente funcionar correctamente, haciendo que el malware pudiera controlar lo que se muestra al usuario.

Una vez hubiera conseguido el acceso a través del dispositivo y otras aplicaciones, el troyano se dedicaba a recolectar datos y enviarlos en un periodo de 24 horas a un servidor de mando y control de los atacantes. El investigador ha encontrado que los actores maliciosos estuvieron usando mensajes Firebase para interaccionar con el dispositivo objetivo. En caso de identificar una aplicación bancaria instalada, el malware se encargaba de descargar la carga maliciosa después de pedirle al usuario que habilitase el servicio de accesibilidad.

La carga era en realidad una interfaz similar a la de la aplicación bancaria legítima usada por el usuario, realizando una acción de superposición con el fin de hacerse con sus credenciales. Esto significa que los actores maliciosos han creado distintas cargas para suplantar diversas aplicaciones bancarias.

En cuanto Google fue notificada de la verdadera naturaleza de QRecorder, el gigante de Mountain View procedió a eliminarla de forma inmediata de la Play Store. En caso de que la encuentres instalada en tu dispositivo móvil, recomendamos desinstalarla de forma inmediata y restablecer la configuración de fábrica para asegurar la eliminación total. Además, en caso suministrado las credenciales o simplemente sospecharlo recomendamos ponerse en contacto con el banco cuanto antes.

Fuente: HackRead