Los delincuentes cibernéticos cada vez más innovadores, ahora han cambiado técnicas tradicionales por más clandestinas con vectores de ataque ilimitados y más difíciles de detectar.
Los investigadores de seguridad han descubierto que una de las más peligrosas familias de troyanos bancarios de Android ha sido modificada para agregar un keylogger a su reciente cepa, dando a los atacantes otra forma de robar datos sensibles a las víctimas.
El analista de software malicioso de Kaspersky Lab, Roman Unuchek, descubrió una nueva variante del famoso troyano bancario de Android, llamado Svpeng, a mediados del mes pasado con una nueva característica de keylogger, que aprovecha los servicios de accesibilidad de Android.
Troyano móvil explota servicios de accesibilidad para agregar keylogger
Sí, el keylogger añadido en la nueva versión de Svpeng aprovecha los servicios de accesibilidad, una función de Android que proporciona a los usuarios formas alternativas de interactuar con sus dispositivos de teléfonos inteligentes.
Este cambio hace que el troyano Svpeng no sólo pueda robar el texto introducido de otras aplicaciones instaladas en el dispositivo y registrar todas las pulsaciones de teclas, sino también conceder más permisos y derechos para evitar que las víctimas desinstalen el troyano.
En noviembre del año pasado, el troyano móvil bancario de Svpeng infectó más de 318.000 dispositivos Android en todo el mundo durante sólo dos meses con la ayuda de anuncios de Google AdSense que fueron abusados para difundir el troyano de operaciones bancarias maliciosas.
Hace más de un mes, los investigadores también descubrieron otro ataque aprovechando los servicios de accesibilidad de Android, denominados ataque Cloak and Dagger, que permite a los hackers tomar silenciosamente el control total de los dispositivos infectados y robar datos privados.
¡ Si usted es ruso, usted está seguro !
A pesar de que la nueva variante del malware Svpeng aún no está ampliamente implementada, el malware ya ha afectado a usuarios en 23 países a lo largo de una semana, entre los que se incluyen Rusia, Alemania, Turquía, Polonia y Francia.
Pero lo que vale la pena notar es que, aunque la mayoría de los usuarios infectados son de Rusia, la nueva variante de Svpeng Trojan no realiza acciones maliciosas en esos dispositivos.
Según Unuchek, después de infectar el dispositivo, el troyano comprueba primero el idioma del dispositivo. Si el idioma es el ruso, el malware previene otras tareas maliciosas, lo que sugiere que el grupo criminal detrás de este malware es el ruso, que están evitando violar las leyes rusas por hackear locales.
Cómo el troyano ‘Svpeng’ roba tu dinero
Unuchek dice que la última versión de Svpeng que vio en julio estaba siendo distribuida a través de sitios web maliciosos que se disfrazaban de un falso reproductor Flash.
Una vez instalado, como ya he mencionado anteriormente, el malware comprueba primero el idioma del dispositivo y, si el idioma no es el ruso, solicita al dispositivo que utilice Accessibility Services, lo que abre el dispositivo infectado a una serie de ataques peligrosos.
Al tener acceso a los servicios de accesibilidad, el troyano se concede derechos de administrador del dispositivo, muestra una superposición en la parte superior de las aplicaciones legítimas, se instala como una aplicación SMS predeterminada y se concede algunos permisos dinámicos, como la capacidad de realizar llamadas, enviar y Recibir mensajes SMS y leer contactos.
Además, con sus capacidades administrativas recién adquiridas, el troyano puede bloquear todos los intentos de las víctimas para eliminar los derechos de administrador del dispositivo, evitando así la desinstalación del malware.
Utilizando los servicios de accesibilidad, Svpeng obtiene acceso al funcionamiento interno de otras aplicaciones en el dispositivo, permitiendo que el troyano robe texto introducido en otras aplicaciones y tome capturas de pantalla cada vez que la víctima oprime un botón del teclado y otros datos disponibles.
«Algunas aplicaciones, principalmente bancarias, no permiten capturas de pantalla cuando están en la parte superior. En tales casos, el troyano tiene otra opción para robar datos – que dibuja su ventana de phishing sobre la aplicación atacada», dice Unuchek.
«Es interesante que, para averiguar qué aplicación está en la parte superior, utilizar servicios de accesibilidad también.»
Toda la información robada se carga en el servidor de comandos y control (C & C) de los atacantes.
Como parte de su investigación, Unuchek dijo que logró interceptar un archivo de configuración cifrado del servidor C & C del software malicioso.
Descifrar el archivo le ayudó a encontrar algunos de los sitios web y aplicaciones que Svpeng, así como ayudarle a obtener una URL con páginas de phishing tanto para PayPal y eBay, junto con enlaces para aplicaciones bancarias de Reino Unido, Alemania, Turquía, Australia, Francia, Polonia y Singapur.
Además de las URL, el archivo también permite que el malware reciba varios comandos del servidor de C & C, que incluye enviar SMS, recopilar información como contactos, aplicaciones instaladas y registros de llamadas, abrir el enlace malicioso, recopilar todos los SMS desde el dispositivo y robar mensajes entrantes SMS.
La Evolución del Malware de la Banca Android de «Svpeng»
Los investigadores de Kaspersky Lab descubrieron inicialmente el troyano de software malicioso de Svpeng Android Banking en 2013, con capacidad primaria-Phishing.
En 2014, el malware fue modificado para agregar un componente de ransomware que bloqueaba el dispositivo de la víctima (por el FBI porque visitaban sitios que contenían pornografía) y demandó $ 500 a los usuarios.
El malware fue uno de los primeros en comenzar a atacar SMS de la banca, usar páginas web de phishing para superponer otras aplicaciones en un esfuerzo por robar credenciales bancarias y bloquear dispositivos y demandar dinero.
En 2016, los ciberdelincuentes estaban distribuyendo activamente Svpeng a través de Google AdSense usando una vulnerabilidad en el navegador web de Chrome y ahora abusando de los servicios de accesibilidad,
Cómo proteger su smartphone de piratas informáticos
Con solo los servicios de accesibilidad, este troyano bancario obtiene todos los permisos y derechos necesarios para robar muchos datos de los dispositivos infectados.
Las técnicas maliciosas del malware Svpeng funcionan incluso en dispositivos Android completamente actualizados con la última versión de Android y todas las actualizaciones de seguridad instaladas, por lo que es poco lo que los usuarios pueden hacer para protegerse.
Existen medidas de protección estándar que debe seguir para que no se vean afectadas:
- Siempre utilizar fuentes de confianza, como Google Play Store y Apple App Store, pero solo de desarrolladores confiables y verificados.
- Lo más importante es verificar los permisos de las aplicaciones antes de instalarlas. Si cualquier aplicación está pidiendo más de lo que está destinado, simplemente no lo instale.
- No descargue aplicaciones de fuentes de terceros, ya que la mayoría de las veces dicho malware se propaga a través de terceros no confiables.
- Evite los puntos de acceso Wi-Fi desconocidos y no seguros y Mantenga su Wi-Fi desactivado cuando no esté en uso.
- Nunca haga clic en los enlaces proporcionados en un SMS, MMS o correo electrónico. Incluso si el correo electrónico parece legítimo, ir directamente al sitio web de origen y verificar las posibles actualizaciones.
- Instale una buena aplicación antivirus que pueda detectar y bloquear dicho malware antes de que pueda infectar su dispositivo y mantenga siempre la aplicación actualizada.