La compañía de seguridad informática Cyble asegura haber descubierto un nuevo troyano dirigido a usuarios de Android, cuyo objetivo es el robo de credenciales bancarias y que han bautizado como «Antidote«. Los hackers han creado páginas falsas que instan a actualizar la tienda oficial de apps de Android, Google Play Store, con las que consiguen introducir el troyano en los smartphones.
Una vez instalado el paquete en el móvil, se le muestra una ventana en pantalla al usuario que le insta a completar una actualización de la Play Store, para lo cual solicita acceso a los ajustes de Accesibilidad del dispositivo.
De esta forma, los criminales son capaces de recibir informaciones del dispositivo, tales como registrar pulsaciones de teclas, bloquear o desbloquear el teléfono, acceder a los contactos y SMS, entre otros. También utilizan la función MediaProjection de Android para acceder el contenido de la pantalla con información personal mediante VNC (Virtual Network Computing).
La forma con la que acceden a contenido confidencial a través del teléfono de los afectados es el ataque de superposición (overlay attack), con el que «el malware envía la lista de nombres de paquetes de la aplicación instalada al servidor C&C [Comando y Control], que se utilizará para encontrar la aplicación de destino». Una vez encontrada, el servidor envía inyecciones que provocan el despliegue de una web phishing falsa al entrar en la aplicación bancaria, indican desde Cyble.
Otras habilidades de este malware, identificado por Cyble inicialmente el 6 de mayo, son la grabación de pantalla, keylogging, hacer peticiones USSD y desvío de llamadas. El malware permite la comunicación bidireccional entre servidor (estafadores) y cliente (usuario) a través de mensajes «ping» y «pong».
Estas páginas phishing pueden evitar con más eficiencia que al usuario le salten las alarmas, ya que se despliegan justo cuando este pulsa sobre una aplicación legítima en su teléfono. Si la landing page creada por los criminales es lo suficientemente realista, esto puede dar lugar a un engaño bastante exitoso.
Dirigido a varias regiones
Los países hacia los que los cibercriminales han dirigido su campaña son aquellos que hablan español, alemán, ruso, portugués, francés, rumano e inglés, a juzgar por los idiomas en los que está disponible la falsa actualización.
«El recién aparecido troyano bancario “Antidot” destaca por sus capacidades multifacéticas y sus operaciones sigilosas. Su utilización de ofuscación de cadenas, cifrado y despliegue estratégico de páginas de actualización falsas demuestra un enfoque dirigido a evadir la detección y maximizar su alcance en diversas regiones de habla lingüística», valoran desde la compañía de ciberseguridad. Con sus capacidades, «Antidot representa una amenaza importante para la privacidad y la seguridad financiera de los usuarios», añaden.
Entre las recomendaciones para evitar este tipo de malware, Cyble recuerda la importancia de descargar aplicaciones solo desde fuentes oficiales, como la Play Store de Android o la App Store de Apple, tener cuidado con los permisos que se le otorgan a las apps y tener activado el servicio Google Play Protect en los dispositivos Android.
