Siguiendo su descubrimiento en varias aplicaciones antivirus en abril, el troyano SharkBotDropper se infiltró una vez más en Google Play Store, advirtieron los investigadores.
Según un nuevo informe (se abre en una pestaña nueva) de Fox-IT, una división de la empresa de seguridad NCC Group, se descubrió que dos aplicaciones antivirus de Android adicionales portan el troyano, que está diseñado para robar credenciales bancarias en línea.
El resurgimiento de SharkBot, dicen los investigadores, señala el próximo paso en el juego del gato y el ratón entre los ciberatacantes y Google. El malware ya no se basa en el uso indebido de los permisos de accesibilidad de un dispositivo Android para instalarse, sino que se entrega a través de una actualización de las siguientes aplicaciones ficticias:
- Mister Phone Cleaner (más de 50 000 descargas)
- Kylhavy Mobile Security (más de 10 000 descargas)
Troyano bancario Android
Si los usuarios han instalado alguna de estas aplicaciones, Sharkbot puede comprometer sus datos bancarios privados de varias maneras.
Puede inyectar una página de inicio de sesión falsa cuando se abre la aplicación bancaria oficial. Si esto sucede, es posible que los usuarios vean una pantalla que no les resulte familiar o que al menos difiera un poco de la interfaz normal.
También se sabe que SharkBot registra las pulsaciones de teclas y las envía a un servidor externo, además de interceptar y ocultar mensajes de texto. También puede enviar respuestas a mensajes de texto e instantáneos recibidos, propagando el malware a través de un enlace acortado.
Quizás el método más potente que Sharkbot puede usar para comprometer las credenciales bancarias es permitir que los atacantes accedan de forma remota al dispositivo de un usuario, para completar automáticamente los formularios de transacción dentro de las aplicaciones bancarias y poner en marcha las transferencias.
Es una pequeña misericordia que, para que la mayoría de estas funciones funcionen correctamente, las aplicaciones bancarias deben tener permisos de accesibilidad. Los usuarios deben verificar si están habilitados y, si aún son necesarios, considerar eliminar su aplicación bancaria a corto plazo.
Para protegerse contra ataques como estos, los usuarios deben ejecutar escaneos de seguridad regulares usando una aplicación antivirus confiable para Android y dejar que elimine cualquier amenaza, como SharkBot, que encuentre.
Si el dispositivo en cuestión existe dentro de una red más grande, los usuarios deberían considerar invertir en la protección de puntos finales para su negocio.
Mientras tanto, aquellos que ya hayan sido infectados por las aplicaciones infractoras, primero deben desinstalarlas y dejar de usar las aplicaciones bancarias hasta que se elimine la amenaza.
La evolución de SharkBot
Las características de diseño de SharkBot pueden insinuar un cambio en los métodos empleados por algunos ciberatacantes, desde infectar tantos dispositivos como sea posible hasta apuntar a dispositivos en regiones específicas como parte de campañas geopolíticas.
La epidemia de SharkBot de abril apuntó principalmente al Reino Unido e Italia, pero a fines de agosto, Fox-IT descubrió que España, Australia, Polonia, Alemania, Austria y los Estados Unidos ahora también están siendo atacados por los servidores de comando y control (C2) de SharkBot. .
Un informe separado (se abre en una pestaña nueva) publicado en abril por Check Point Research señaló que «Sharkbot no se dirige a todas las víctimas potenciales que encuentra, sino solo a las seleccionadas, utilizando la función de geoperimetraje para identificar e ignorar a los usuarios de China, India, Rumania, Rusia, Ucrania o Bielorrusia».
Los ataques de malware pueden ser inquietantes, especialmente cuando las motivaciones detrás de ellos no están claras. Por eso es importante tener a mano herramientas de eliminación de malware, bloqueando amenazas en tiempo real, para que los usuarios nunca más tengan que preocuparse por un ataque malicioso.