Casi a diario nos enteramos de nuevo malware dentro y fuera de Google Play y que en muchas ocasiones busca hacerse con el acceso a nuestra cuenta bancaria. A veces escondido en aplicaciones de apariencia inofensiva y camuflado en SMS falsos, este tipo de malware parece ser inmune a los intentos de Google de limpiar su tienda de aplicaciones.
Mediante el último informe de Trend Micro, se dio a conocer el grado de sofisticación al que está llegando el malware y el quebradero de cabeza que esto supone para los intentos de Google de evitar su proliferación en la tienda. La compañía de seguridad ha denominado a la última innovación DawDropper, un avanzado sistema para descargar de forma remota el código malicioso que irónicamente usa servicios de terceros como Firebase (de Google) y GitHub (de Microsoft).
Te puede interesar Esta es la fecha del pago de septiembre para jubilados y pensionados del IMSS e ISSSTE
Investigadores de la compañía de ciberseguridad avistaron esta campaña maliciosa por primera vez a finales de 2021, tal y como recuerda en una publicación de su blog, donde adelanta que este ‘malware’ estaba incluido en aplicaciones de Android como Just In: Video Motion, Document Scanner Pro o Unicc QR Scanner.
Desde entonces, DawDropper ha llegado a estar presente en hasta 17 aplicaciones –que ya han sido retiradas de la Google Play–, con el objetivo de descargar de forma remota el código malicioso de hasta cuatro variantes de troyanos bancarios (Octo, Hydra, Ermac, y TeaBot) en los móviles en los
Trend Micro señala que, para cumplir su propósito, este sistema empleaba el servicio en la nube, Firebase Realtime Database, propiedad de Google. Gracias a este, evitaba ser detectado, al tiempo que tenía acceso a la dirección de descarga del código malicioso.
Te puede interesar ¡’Pegale al gordo’! Tips para escoger números y ganar la lotería
DawDropper también aprovechaba para ello GitHub, otro servicio de terceros (en este caso, propiedad de Microsoft), como vía alternativa para obtener el código malicioso, que posteriormente procedía a descargar en los dispositivos afectados.
Una vez instalado el ‘malware’ en el terminal, las consecuencias variaban en función de la variante del troyano bancario. Para ilustrar su capacidad, Trend Micro pone como ejemplo al de la familia de ‘malware’ Octo.
En este caso, la aplicación que integra DawDropper trata de convencer al usuario para que le otorgue los permisos principales de accesibilidad, para tener todo el control de su sistema.
Te puede interesar ¡Ya no lo sueltes! Sacarán de circulación el nuevo billete de 20 pesos
Después de obtener este poder, el ‘malware’ puede ser capaz de deshabilitar ciertos filtros de seguridad del dispositivo, como Google Play Protect, el sistema de protección también presente en Google Play Store, capaz ‘derastrear’ las aplicaciones para verificar si hay comportamientos maliciosos.
Este troyano también es capaz de mantener activo el dispositivo afectado para recopilar y descargar información sensible del usuario, como su lista de contactos, otras ‘apps’ instaladas e incluso mensajes de texto, para transferirlos a un servidor de Comando y Control (C&C).
El ‘malware’ Octo puede también grabar la pantalla del dispositivo para registrar las contraseñas del usuario afectado, además de sus direcciones de correo electrónico, sus contraseñas de acceso a otros servicios o sus credenciales bancarias.
Te puede interesar Infonavit flexibiliza su sistema de adquisición de vivienda
Así podrás evitar ser víctima del Malware
Desde Trend Micro prevén que, con el tiempo, los troyanos bancarios se irán multiplicando, puesto que han ido evolucionando sus rutinas técnicas para evitar ser detectados, como ocultar sus cargas maliciosas en modelos de cuentagotas cono servicio (DaaS).
Ante este contexto, la firma de ciberseguridad propone varios consejos para evitar nuevas víctimas de estas campañas de ‘malware’, empezando por una revisión del apartado de reseñas de la aplicación para buscar valoraciones negativas.
También es recomendable evitar descargar aplicaciones o servicios desde fuentes desconocidas o sitios web de aspecto sospechoso, a fin de evitar la proliferación de las mencionadas amenazas.
LM