Los ciberdelincuentes han fabricado una aplicación maliciosa para Android que agrupa una serie de herramientas para fraudes bancarios en un sólo malware móvil, con trucos nuevos y desconocidos, afirma la compañía de seguridad de la red, FireEye. Esta nueva amenaza -en forma de troyano bancario- ha sido denominada HijackRATy viene afectando principalmente a usuarios de países europeos como Reino Unido, Francia o Alemania.
El malware combina el robo de datos privados, robo de credenciales bancarias, suplantación de identidad y acceso remoto en una aplicación maliciosa. Hasta la fecha, el malware para Android sólo había tenido una de estas capacidades incorporadas.
Bajo el control de algún atacante, la aplicación roba la lista de contactos y envía mensajes SMS, puede iniciar una actualización de aplicaciones maliciosas y escanear por aplicaciones bancarias instaladas en el teléfono, reemplazándolas con sitios falsos. El malware también intenta deshabitar cualquier software de seguridad móvil que pudiera estar instalado en el dispositivo infectado.
La versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con aplicaciones falsas. “Si bien se limita sólo a los 8 bancos coreanos en este momento, el creador podría añadir fácilmente cualquier otro banco en 30 minutos de trabajo”, según FireEye.
La funcionalidad integrada en HijackRAT podría facilitar ataques de secuestro a bancos, de acuerdo con el análisis de malware móvil de FireEye. Estos ataques serían posibles gracias a la combinación de información personal de dispositivos comprometidos con la introducción de aplicaciones bancarias falsificadas en teléfonos inteligentes o tabletas Android.
Aunque HijackRAT se disfraza como un “servicio de Google”, no tiene afiliación con la tienda oficial Google Play Store.
Detección y precaución
Para saber si nuestro dispositivo está infectado, es necesario buscar en el listado de aplicaciones instaladas una con el nombre “Google Service Framework“. Aunque pueda parecer el nombre de un módulo del sistema operativo, esto no es así; se trata del nombre que posee el virus para evitar ser localizado.
Al estar disponible en tiendas de aplicaciones no oficiales, nadie puede evitar que un usuario realice su instalación. Es muy importante prestar atención a los permisos que solicitan las aplicaciones. En este caso, la aplicación necesita tener acceso a la agenda y al módulo de mensajes de texto. Con esto queremos decir que un juego nunca va a necesitar este tipo de permisos; por lo tanto, si encontramos un caso de estas características, lo mejor es abortar la instalación. Tampoco es posible fiarse de que todas las aplicaciones de Play Store que están disponibles se encuentren libres de malware, por lo que se recomienda prestar atención de igual forma a los permisos.
Recientemente investigadores de seguridad móvil de FireEye han descubierto un nuevo malware cifrado de una aplicación Android incorporado como archivo adjunto en una carpeta de recursos, ocultando todas las actividades maliciosas en la solicitud adjunta. La aplicación de malware se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda de Google Play en el escritorio. El hacker utiliza un servidor DNS dinámico, con el protocolo SSL Gmail para recopilar SMS, certificado de firma bancaria y la contraseña de los teléfonos Android.
La mayoría de las compañías de seguridad sólo utilizan el algoritmo basado en firmas, el cual puede fallar en la detección de este tipo de aplicaciones de malware encubiertos. El hacker es suficientemente inteligente para usar protocolos para evadir la detección de firma en el tráfico de red de la mayoría de los vendors AV. Pero no puede escapar en el entorno VM de FireEye.