android banking trojanAndroid KeyloggerAndroid Malwarebanking malwareBlogcybersecurityhacking newskeyloggerMalware attack

El nuevo malware de Android roba contraseñas bancarias, datos privados y pulsaciones de teclas

Se ha descubierto un nuevo tipo de malware de banca móvil que abusa de las funciones de accesibilidad de Android para extraer datos confidenciales de aplicaciones financieras, leer mensajes SMS de usuarios y secuestrar códigos de autenticación de dos factores basados ​​en SMS.

Denominado “EventBot” por los investigadores de Cybereason, el malware es capaz de apuntar a más de 200 aplicaciones financieras diferentes, incluidos servicios bancarios, de transferencia de dinero y carteras de criptomonedas como Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise y Coinbase.

“EventBot es particularmente interesante porque se encuentra en etapas tan tempranas”, el investigadores dicho. “Este nuevo malware tiene un potencial real para convertirse en el próximo gran malware móvil, ya que se encuentra bajo constantes mejoras iterativas, abusa de una característica crítica del sistema operativo y apunta a aplicaciones financieras”.

La campaña, identificada por primera vez en marzo de 2020, enmascara su intención maliciosa haciéndose pasar por aplicaciones legítimas (por ejemplo, Adobe Flash, Microsoft Word) en tiendas de APK no autorizadas y otros sitios web sospechosos que, cuando se instalan, solicitan amplios permisos en el dispositivo.

Los permisos incluyen acceso a la configuración de accesibilidad, la capacidad de leer desde un almacenamiento externo, enviar y recibir mensajes SMS, ejecutarse en segundo plano y ejecutarse después del inicio del sistema.

Si un usuario otorga acceso, EventBot opera como un registrador de teclas y puede “recuperar notificaciones sobre otras aplicaciones instaladas y contenido de ventanas abiertas”, además de explotar los servicios de accesibilidad de Android para tomar el PIN de la pantalla de bloqueo y transmitir todos los datos recopilados en un formato cifrado a un servidor controlado por el atacante.

La capacidad de analizar mensajes SMS también hace que el troyano bancario sea una herramienta útil para eludir la autenticación de dos factores basada en SMS, lo que brinda a los adversarios un fácil acceso a las billeteras de criptomonedas de la víctima y roba fondos de cuentas bancarias.

Esta no es la primera vez que el malware móvil se dirige a servicios financieros. El mes pasado, los investigadores de IBM X-Force detallaron una nueva campaña de TrickBot, llamada TrickMo, que se encontró dirigida exclusivamente a usuarios alemanes con malware que usaba incorrectamente las funciones de accesibilidad para interceptar contraseñas de un solo uso (OTP), TAN móvil (mTAN) y códigos de autenticación pushTAN. .

“Dar acceso a un atacante a un dispositivo móvil puede tener graves consecuencias comerciales, especialmente si el usuario final está utilizando su dispositivo móvil para discutir temas comerciales sensibles o acceder a información financiera empresarial”, concluyeron los investigadores de Cybereason. “Esto puede resultar en la degradación de la marca, la pérdida de la reputación individual o la pérdida de la confianza del consumidor”.

Es posible que la familia de aplicaciones maliciosas de EventBot no esté activa en Google Play Store, pero es otro recordatorio de por qué los usuarios deben atenerse a las tiendas de aplicaciones oficiales y evitar descargar aplicaciones de fuentes no confiables. Mantener el software actualizado y activar Google Play Protect también puede ser de gran ayuda para proteger los dispositivos del malware.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar