¿Qué es un gotero troyano y cómo proteger su teléfono Android del malware?

Los autores de malware y los desarrolladores de seguridad cibernética están atrapados en una guerra constante en la que se introducen nuevos mecanismos para parchear nuevos tipos de problemas de seguridad, y los autores de malware encuentran nuevos exploits para solucionarlos. Si bien Android 13 introdujo un montón de restricciones, lo que ayudó al sistema operativo a obtener una ventaja, la ventaja aparentemente duró poco y los ciberdelincuentes encontraron nuevas formas de infiltrar aplicaciones de malware en Google Play Store. La empresa de seguridad móvil Threat Fabric ha descubierto una nueva ola de aplicaciones “cuentagotas” en la tienda oficial que utilizan actualizaciones falsas para instalar troyanos bancarios en los dispositivos de los usuarios.

¿Qué son los goteros?

Un cuentagotas es un tipo de troyano diseñado para instalar algún tipo de malware en una máquina de destino. El malware contenido en el cuentagotas es difícil de detectar porque está oculto de una manera que evita que los programas antivirus lo detecten. El cuentagotas no contiene ningún malware en el momento de la instalación y solo puede descargarlo una vez que esté activado.

Cuentagotas Sharkbot

Los cuentagotas de Sharkbot son un tipo de malware desagradable que está diseñado para robar las credenciales de inicio de sesión de los usuarios, en particular las que se utilizan para iniciar sesión en las aplicaciones bancarias. Este tipo es incluso capaz de eludir la autenticación de dos factores (2FA) de SMS mediante la lectura de mensajes SMS para robar códigos de autenticación.

Threatfabric ha detectado una nueva campaña del troyano bancario Sharkbot dirigida a los usuarios bancarios italianos. La firma de seguridad detectó recientemente una de las aplicaciones con este malware en particular llamado Codice Fiscale. La aplicación obtuvo más de 10 000 instalaciones y se disfrazó como una calculadora de códigos de impuestos. Fue particularmente nefasto porque sus autores hicieron todo lo posible para ocultar las intenciones maliciosas del cuentagotas. Codice Fiscale no instaló malware en el dispositivo por sí solo. En cambio, subcontrató esa parte al navegador al abrir una página falsa de Play Store que pedía actualizar la aplicación. Al hacer clic en el botón de actualización, se instala el APK del malware, lo que les da a los autores lo que querían.

Parece goteros

Vultur es otra familia de malware descubierta en julio de 2021 por ThreatFabric. Ha estado muy activo en el último año y se especializa en robar información de identificación personal (PII) de dispositivos infectados mediante la grabación/registro de teclas de ciertas aplicaciones. Luego, los piratas informáticos utilizan los PIN y las contraseñas robados para realizar acciones en el dispositivo de la víctima, lo que conduce efectivamente a ODF. ODF significa On-Device Fraud, que es un tipo de fraude en el que las transacciones se inician desde el dispositivo de la víctima.

ThreatFabric ha detectado 3 nuevos droppers en Play Store que utilizan este malware con miles de instalaciones. Estas aplicaciones se hacen pasar por aplicaciones como autenticadores de seguridad o herramientas de recuperación de archivos. Estas aplicaciones instalan malware de manera muy similar a Sharkbots, ya que solicitan al usuario que instale malware con el pretexto de una actualización de la aplicación.

Uno de los distribuidores más exitosos del malware Vultur es el equipo del “Proyecto Brunhilda”, cuyas campañas en los últimos meses han llegado a más de 100 000 posibles víctimas de fraude.

¿Qué se puede hacer para evitar estos?

ThreatFabric concluye que, a pesar de los constantes cambios en la política y la seguridad de Play Store, el malware como los mencionados anteriormente “llegó para quedarse”. Google Play Store sigue siendo la forma más asequible y escalable de llegar a las víctimas porque otras tácticas, como la entrega de ataques orientada al teléfono, requieren muchos más recursos.

En tal caso, se recomienda tener cuidado al descargar aplicaciones no populares y no instalar ninguna “actualización” que una aplicación pueda generar a través del navegador. El sistema Android actualiza las aplicaciones a través de la aplicación Google Play Store preinstalada, y si alguna aplicación de terceros le pide que actualice a través de un navegador, lo mejor es desinstalarla.

Lista de aplicaciones populares de malware Sharkbot/Vultur que le gustaría eliminar si están instaladas

Por supuesto, las siguientes aplicaciones ya se han extraído de Play Store, pero si aún las tiene instaladas, querrá eliminarlas de inmediato.

  • Código Tributario 2022
  • Administrador de archivos Pequeño, Lite
  • Rastreador de mis finanzas
  • Recuperar archivos
  • Autenticador Zetter