El mundo de la ciberdelincuencia no deja de cambiar, modificando su forma de operar para tratar de pillar desprevenidas a nuevas víctimas y saltarse ciertos controles de seguridad. Ahora se han detectado unas aplicaciones falsas que roban tus datos bancarios cuando en teoría sirven para darte recompensas.
Te vamos a contar cómo operan estas fake apps y que así puedas echar un ojo a ver si las tienes instaladas.
Falsas aplicaciones de recompensas
El equipo de inteligencia de amenazas de Microsoft 365 Defender ha reportado el análisis de una serie de aplicaciones móviles que, bajo la premisa de recompensas bancarias, lo que realmente hacen es instalar un troyano de acceso remoto (RAT). Las capacidades RAT del malware permiten al atacante interceptar notificaciones importantes del dispositivo, como mensajes entrantes, un esfuerzo aparente para capturar los mensajes de autenticación de dos factores (2FA) que suelen utilizar las instituciones bancarias y financieras por normativa.
Algunos de los nombres de estas falsas aplicaciones son las siguientes:
- Axisbank_rewards.apk
- Icici_points.apk
- Icici_rewards.apk
- SBI_rewards.apk
Las aplicaciones falsas solicita información de la tarjeta de crédito al recibir todos los permisos. Esto debería despertar las sospechas de los usuarios sobre el motivo de la aplicación, ya que las aplicaciones generalmente solicitan información confidencial solo a través de transacciones impulsadas por el usuario, como pagar compras.
Además, también define servicios que pueden ejecutarse en segundo plano sin interacción del usuario, como leer el estado del teléfono, enviar y leer SMS, leer registro de llamadas, modificar ajustes de audio, leer contactos, etc. El malware utiliza las funciones MainActivity, AutoStartService y RestartBroadCastReceiverAndroid para llevar a cabo la mayoría de sus rutinas. Estas tres funciones interactúan para garantizar que todas las rutinas del malware estén en funcionamiento y permiten que la aplicación permanezca persistente en el dispositivo móvil.
Roban SMS de autenticación
Este malware se detecten las actividades de envío de SMS del atacante remoto, se destaca de la lista de comandos. Muchas aplicaciones bancarias requieren autenticación de dos factores (2FA), a menudo enviada a través de mensajes SMS. Este malware que habilita el modo silencioso de un dispositivo infectado permite a los atacantes capturar mensajes 2FA sin ser detectados, lo que facilita aún más el robo de información.
El malware roba todos los mensajes SMS de la bandeja de entrada del dispositivo móvil. Recopila todos los mensajes recibidos, enviados, leídos e incluso no leídos. La recopilación de todos los mensajes SMS podría permitir a los atacantes usar los datos para expandir su rango de robo, especialmente si algún mensaje contiene otra información confidencial, como 2FA basado en SMS para cuentas de correo electrónico, otros servicios online, redes sociales, etc.
Su capacidad para interceptar contraseñas de un solo uso (OTP) enviadas a través de SMS frustra las protecciones proporcionadas por los mecanismos de autenticación de dos factores de los bancos, en los que confían los usuarios y las instituciones para mantener sus transacciones seguras.
