Logo Computerhoy.com

Cuidado con El Padrino: así es nuevo malware que infecta tu Android para robarte

Aplicaciones
El padrino y Android

Haciendo la broma fácil: este malware tiene una oferta que no vas a poder rechazar... a no ser que tomes medidas de seguridad. Vamos a ver en qué consiste este malvado software.

Los delincuentes están utilizando un troyano bancario Android apodado Godfather (El Padrino, en español) para robar a los usuarios de aplicaciones bancarias y de intercambio de criptomonedas en 16 países, según informan un grupo de investigadores de seguridad.

La empresa de seguridad detectó a Godfather por primera vez en junio de 2021 y, hasta octubre, el malware enfocado al robo de credenciales había conseguido infectar a más de 400 aplicaciones dentro de la tienda Google Play (la de Android).

Esto incluye 215 bancos internacionales, 94 billeteras de criptomonedas y 110 plataformas de intercambio de criptomonedas en los Estados Unidos, Turquía, España, Canadá, Alemania, Francia y el Reino Unido. Sí, España está entre las víctimas de este malware.

Además, el código del malware tiene una funcionalidad interesante que le impide atacar a usuarios de habla rusa o a aquellos que hablan un puñado de otros idiomas utilizados en la antigua Unión Soviética, incluyendo azerbaiyano, armenio, bielorruso, kazajo, kirguís, moldavo, uzbeko o tayiko.

Un malware que es la evolución de un troyano conocido

Tras robar las credenciales de los usuarios y saltarse la autenticación de dos factores, los delincuentes acceden a las cuentas bancarias y a las criptocarteras de las víctimas, y luego vacían sus fondos.

Godfather es esencialmente una versión actualizada del troyano bancario Anubis, según los investigadores de seguridad, que descubrieron que ambos comparten el mismo código base. 

Además de mejorar el protocolo y las capacidades de comunicación de mando y control, "los desarrolladores de Godfather también modificaron el algoritmo de cifrado de tráfico de Anubis, actualizaron varias funcionalidades como las OTP de Google Authenticator y añadieron un módulo independiente para gestionar las conexiones informáticas de redes virtuales", escribieron.

Malware Android

Curiosamente, después de aparecer en la escena del malware en junio de 2021, Godfather dejó de circular aproximadamente un año después, lo que los analistas de infoseguridad creen que estaba relacionado con otra actualización de software.

Reapareció en septiembre, con una funcionalidad WebSocket modificada, así como una versión de malware como servicio que se vendía en Telegram.

Si esta semana comienzas a ver más anuncios en la App Store, no se te ha colado un malware publicitario: es Apple

Los investigadores de seguridad dicen que no saben exactamente cómo Godfather infecta los dispositivos. Sin embargo, tras analizar la infraestructura de red del troyano, descubrieron un dominio cuya dirección de comando y control pertenecía a una aplicación de Android.

Una vez descargado en un dispositivo móvil, el código imita a Google Protect para establecer la persistencia y acceder a AccessibilityService, otra herramienta legítima de Android utilizada por los desarrolladores para modificar sus aplicaciones para usuarios con discapacidad.

Descubre más sobre autor/a de este artículo.

Conoce cómo trabajamos en Computerhoy.

Hoy destacamos

Y además