Se ha detectado una nueva campaña maliciosa dirigida a los usuarios de Android a través de una aplicación troyana. La carga útil de la campaña es el troyano Vultur que recolecta credenciales bancarias., entre otras actividades maliciosas.
El culpable, una autenticación maliciosa de dos factores (2FA) aplicación, que estuvo disponible para descargar durante más de dos semanas, fue descargado 10,000 veces. La aplicación era un autenticador 2FA completamente funcional. (con el mismo nombre) pero vino con un "bono". Si ha descargado la aplicación 2FA Authenticator, debe quitarlo de inmediato porque todavía está expuesto, investigadores de Pradeo prevenido.
Según el informe de Pradeo:
La aplicación llamada 2FA Authenticator es un cuentagotas aprovechado para propagar malware en los dispositivos de sus usuarios. Ha sido desarrollado para parecer legítimo y brindar un servicio real.. Para ello, sus desarrolladores utilizaron el código fuente abierto de la aplicación oficial de autenticación Aegis a la que inyectaron código malicioso. Como resultado, la aplicación se disfraza con éxito como una herramienta de autenticación que garantiza que mantenga un perfil bajo.
Sin embargo, la capacidad más notable de la aplicación troyana es que puede solicitar permisos críticos que no revela en su perfil de Google Play. Gracias a estos permisos, la aplicación puede realizar las siguientes actividades en un dispositivo Android comprometido:
- Recopilar y enviar la lista de aplicaciones de los usuarios y la localización a sus perpetradores., para que puedan aprovechar la información para realizar ataques dirigidos a personas en países específicos que usan aplicaciones móviles específicas, en lugar de campañas masivas de ataques no dirigidos que correrían el riesgo de exponerlos,
- Deshabilite el bloqueo de teclas y cualquier seguridad de contraseña asociada,
- Descargar aplicaciones de terceros bajo la forma de supuestas actualizaciones,
- Realice actividades libremente incluso cuando la aplicación está apagada,
- Superponga la interfaz de otras aplicaciones móviles usando un permiso crítico llamado SYSTEM_ALERT_WINDOW para el cual Google especifica "Muy pocas aplicaciones deberían usar este permiso; estas ventanas están destinadas a la interacción a nivel de sistema con el usuario”.
Otro troyano para Android descubierto recientemente es el troyano BRATA. Los actores de amenazas han estado usando el troyano para "perpetrar fraude a través de transferencias bancarias no autorizadas". Algunas de sus capacidades incluyen realizar un restablecimiento de fábrica del dispositivo, rastreo gps, usando múltiples canales de comunicación (como HTTP y TCP), y poder monitorear continuamente la aplicación bancaria de la víctima a través de VNC (Virtual Network Computing) y registro de teclas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: