Nueva ola de troyanos apunta a billeteras de criptomonedas y aplicaciones bancarias

Los investigadores de ciberseguridad han encontrado cuatro familias activas de malware en Android que están apuntando a más de 800 aplicaciones, incluyendo billeteras de criptomonedas y aplicaciones bancarias. Estos malware utilizan métodos que la mayoría de las herramientas de seguridad tradicionales no pueden detectar.

El equipo de zLabs de Zimperium publicó resultados rastreando los troyanos conocidos como RecruitRat, SaferRat, Astrinox y Massiv.

Según la investigación de la compañía, cada familia tiene su propia red de comando y control que utilizan para robar información de inicio de sesión, tomar el control de transacciones financieras y obtener datos de usuarios de dispositivos infectados.

Las aplicaciones de criptomonedas y banca enfrentan nuevas amenazas de múltiples malware

Las familias de malware representan una amenaza directa para cualquiera que gestione criptomonedas en Android.

Una vez instalados, los troyanos pueden colocar pantallas de inicio de sesión falsas sobre aplicaciones reales de criptomonedas y banca, robando contraseñas y otra información privada en tiempo real. Luego, el malware coloca una página HTML falsa sobre la interfaz real de la aplicación, creando lo que la compañía llamó “una fachada altamente convincente y engañosa.”

“Utilizando Servicios de Accesibilidad para monitorear el primer plano, el malware detecta el momento exacto en que una víctima lanza una aplicación financiera,” escribieron los investigadores de seguridad de Zimperium.

Según el informe, los troyanos pueden hacer más que solo robar credenciales. También pueden capturar códigos de un solo uso, transmitir la pantalla del dispositivo a los atacantes, ocultar sus propios íconos de aplicaciones y evitar que las personas desinstalen las aplicaciones.

Cada campaña usa un señuelo diferente para hacer que las personas caigan en la trampa.

SaferRat se propagó mediante sitios web falsos que prometían acceso gratuito a servicios de streaming premium. RecruitRat escondió su carga útil como parte de un proceso de solicitud de empleo, enviando a los objetivos a sitios de phishing que les pedían descargar un archivo APK malicioso.

Astrinox utilizó el mismo método basado en reclutamiento, usando el dominio xhire[.]cc. Dependiendo del dispositivo utilizado para visitar ese sitio, mostraba contenido diferente.

A los usuarios de Android se les pedía que descargaran un APK, y a los usuarios de iOS se les mostraba una página que parecía la App Store de Apple. Sin embargo, los investigadores de seguridad no encontraron pruebas de que iOS hubiera sido realmente hackeado.

No fue posible confirmar cómo se distribuyó Massiv durante el ciclo de investigación.

Las cuatro familias de troyanos utilizaron infraestructura de phishing, estafas por mensajes de texto y ingeniería social que jugaron con la necesidad de actuar rápidamente o la curiosidad de las personas para que cargaran aplicaciones dañinas.

El malware de criptomonedas evade la detección

Las campañas buscan sortear las herramientas de seguridad.

Los investigadores encontraron que las familias de malware usan técnicas avanzadas de anti-análisis y manipulación estructural de paquetes de aplicaciones Android (APKs) para mantener lo que la compañía llamó “tasas de detección cercanas a cero contra mecanismos de seguridad tradicionales basados en firmas.”

Las comunicaciones en red también se mezclan con el tráfico regular. Los troyanos usan conexiones HTTPS y WebSocket para comunicarse con sus servidores de comando. Algunas versiones añaden capas adicionales de cifrado sobre estas conexiones.

Otra cosa importante es la persistencia. Los troyanos bancarios modernos en Android ya no usan infecciones simples de una sola etapa. En cambio, emplean procesos de instalación en múltiples etapas diseñados para sortear el modelo de permisos cambiante de Android, que ha dificultado que las aplicaciones hagan cosas sin el permiso explícito del usuario.

El informe no identificó billeteras de criptomonedas o intercambios específicos dentro de las más de 800 aplicaciones objetivo. Pero debido a ataques de superposición, interceptación de códigos y transmisión de pantalla, cualquier aplicación de criptomonedas basada en Android podría estar en riesgo si un usuario instala un APK malicioso desde fuera de Google Play.

Descargar aplicaciones desde enlaces en mensajes de texto, ofertas de trabajo o sitios web promocionales sigue siendo una de las formas garantizadas para que el malware móvil ingrese a un teléfono inteligente.

Las personas que gestionan sus criptomonedas en dispositivos Android solo deben usar tiendas de aplicaciones oficiales y tener cuidado con los mensajes emergentes que les piden descargar algo.

Las mentes más inteligentes en criptomonedas ya leen nuestro boletín. ¿Quieres unirte? Únete a ellos.