DETECTAN PELIGROSO TROYANO BANCARIO EN GOOGLE PLAY

El troyano bancario BankBot logró infiltrarse de nuevo a la tienda oficial de aplicaciones de la empresa con sede en Mountain View. La firma de seguridad ESET informó que BankBot se oculta en el juego Jewels Star Classic.

En enero de este año, ESET ya había alertado sobre este troyano en Android. BankBot reapareció en escena recientemente, y de acuerdo con datos de la compañía el juego malicioso ya fue descargado desde Google Play por 5,000 usuarios.

Los atacantes se valieron de la popular saga Jewels Stars, desarrollada por ITREEGAMER para distribuir su troyano. Según el reporte, el juego funciona normalmente. Sin embargo, incluye algunas características maliciosas, entre ellas un malware bancario entre los recursos del juego y un servicio malicioso que espera ser ejecutado tras una ventana de tiempo preconfigurada.

El servicio malicioso se activa 20 minutos después de la primera ejecución del juego. El dispositivo infectado muestra una alerta instando al usuario a habilitar algo llamado Google Service. Esta alerta aparece independientemente de la actividad que esté llevando a cabo el usuario, sin conexión aparente con el juego.

Una vez que el usuario acepta el servicio, la amenaza tiene vía libre para ejecutar cualquier acción maliciosa que desee. El malware habilita la instalación de aplicaciones de fuentes desconocidas, instala BankBot desde sus recursos y lo ejecuta, activa el administrador de dispositivo, lo establece como aplicación de SMS por defecto y obtiene permiso para sobreescribir otras aplicaciones.

Una vez que se ejecutan estas tareas, el malware intenta robar los datos de las tarjetas de crédito de las víctimas. Al ejecutar la aplicación de Google Play, BankBot entra en acción y se superpone a la aplicación legítima con un formulario falso, en el que le pide los datos de la tarjeta de crédito del usuario.

En este paso, el usuario puede caer en la trampa e ingresar los datos y ser estafado. BankBot, además, se establece a sí mismo como la aplicación de mensajería por defecto por lo que puede interceptar todos los mensajes SMS que pasan por el dispositivo infectado. Esto les permite a los atacantes evadir la doble autenticación basada en SMS en la cuenta bancaria de la víctima, que sería potencialmente el último obstáculo protegiendo a la víctima.

“Las técnicas combinadas hacen muy difícil para la víctima reconocer la amenaza a tiempo. Suplantar un servicio que dice ser de Google y esperar 20 minutos antes de mostrar la primera alerta, implica que la víctima tiene pocas chances para relacionar su actividad con la aplicación de Jewel Star Classic que acaba de descargar.”, mencionó Camilo Gutierrez, jefe del Laboratorio de investigación de ESET Latinoamérica. “Para detectar y eliminar la amenaza con todos sus componentes, recomendamos usar una solución de seguridad móvil.”, anadió Gutierrez.

Finalmente, para verificar si un dispositivo fue infectado por BankBot, la empresa sugiere checar si está instalada una app llamada Google Update, activado un administrador de dispositivo con el nombre de System update o si visualiza la alerta de Google Service.

(Fuente ESET)

Ver información otiginal al respecto en Fuente: