Se ha observado que aplicaciones maliciosas de Android que se hacen pasar por Google, Instagram, Snapchat, WhatsApp y X (anteriormente Twitter) roban las credenciales de los usuarios de los dispositivos comprometidos.
«Este malware utiliza famosos iconos de aplicaciones de Android para engañar a los usuarios y engañar a las víctimas para que instalen la aplicación maliciosa en sus dispositivos», dijo el equipo de investigación de amenazas de SonicWall Capture Labs. dicho en un informe reciente.
El vector de distribución de la campaña no está claro actualmente. Sin embargo, una vez instalada la aplicación en los teléfonos de los usuarios, les solicita que le otorguen permisos para los servicios de accesibilidad y la API de administrador de dispositivosuna característica ahora obsoleta que proporciona funciones de administración de dispositivos a nivel del sistema.
Obtener estos permisos permite que la aplicación maliciosa obtenga control sobre el dispositivo, lo que permite llevar a cabo acciones arbitrarias que van desde el robo de datos hasta la implementación de malware sin el conocimiento de las víctimas.
El malware está diseñado para establecer conexiones con un servidor de comando y control (C2) para recibir comandos para su ejecución, permitiéndole acceder a listas de contactos, mensajes SMS, registros de llamadas, la lista de aplicaciones instaladas; enviar mensajes SMS; abra páginas de phishing en el navegador web y encienda la linterna de la cámara.
Las URL de phishing imitan las páginas de inicio de sesión de servicios conocidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress y Yahoo.
El desarrollo se produce cuando Symantec, propiedad de Broadcom, advirtió sobre una campaña de ingeniería social que emplea WhatsApp como vector de entrega para propagar un nuevo malware de Android haciéndose pasar por una aplicación relacionada con la defensa.
«Tras la entrega exitosa, la aplicación se instalaría bajo la apariencia de una aplicación de Contactos», Symantec dicho. «Al ejecutarse, la aplicación solicitaría permisos para SMS, Contactos, Almacenamiento y Teléfono y posteriormente se eliminaría de la vista».
También sigue la descubrimiento de campañas de malware que distribuyen troyanos bancarios para Android como Coperque es capaz de recopilar información confidencial y mostrar superposiciones de ventanas falsas, engañando a los usuarios para que entreguen sus credenciales sin saberlo.
La semana pasada, el Centro Nacional de Seguridad Cibernética de Finlandia (NCSC-FI) reveló que se utilizan mensajes de smishing para dirigir a los usuarios a malware de Android que roba datos bancarios.
La cadena de ataque aprovecha una técnica llamada entrega de ataques orientados por teléfono (TOAD), en la que los mensajes SMS instan a los destinatarios a llamar a un número en relación con un reclamo de cobro de deudas.
Una vez realizada la llamada, el estafador del otro lado informa a la víctima que el mensaje es fraudulento y que debe instalar una aplicación antivirus en su teléfono para protegerse.
También le indican a la persona que llama que haga clic en un enlace enviado en un segundo mensaje de texto para instalar el supuesto software de seguridad, pero en realidad es un malware diseñado para robar credenciales de cuentas bancarias en línea y, en última instancia, realizar transferencias de fondos no autorizadas.
Si bien el NCSC-FI no identificó la cepa exacta de malware de Android utilizada en el ataque, se sospecha que es Vultrque fue detallado por NCC Group a principios del mes pasado como aprovechando un proceso prácticamente idéntico para infiltrarse en dispositivos.
En los últimos meses también se ha detectado malware basado en Android, como Tambir y Dwphon, con varias funciones de recopilación de dispositivos, este último dirigido a teléfonos móviles de fabricantes chinos y destinado principalmente al mercado ruso.
«Dwphon viene como un componente de la aplicación de actualización del sistema y presenta muchas características del malware preinstalado en Android», Kaspersky dicho.
«La ruta exacta de infección no está clara, pero se supone que la aplicación infectada se incorporó al firmware como resultado de un posible ataque a la cadena de suministro».
Los datos de telemetría analizados por la firma rusa de ciberseguridad muestran que el número de usuarios de Android atacados por malware bancario aumentó un 32% respecto al año anterior, pasando de 57.219 a 75.521. La mayoría de las infecciones se han reportado en Turquía, Arabia Saudita, España, Suiza e India.
«Aunque el número de usuarios afectados por el malware bancario para PC sigue disminuyendo, […] En el año 2023, el número de usuarios que encontraron troyanos bancarios móviles aumentó significativamente», dijo Kaspersky. anotado.