Revisa tu móvil: detectan un peligroso troyano en varias aplicaciones antivirus para Android

Las aplicaciones con malware son cada vez más sofisticadas capaces de pasar todas las barreras de seguridad que empresas como Google ponen en sitios como en su tienda de aplicaciones, y cada vez se hace más arriesgado poder confiar en este tipo de tiendas para descargarnos ciertas aplicaciones.

Ahora investigadores británicos de seguridad de la empresa NCC Grouphan descubierto una nueva versión del troyano bancario llamado SharkBot, que fue descubierto originalmente a finales de 2021.

Esta nueva versión de SharkBot está oculta dentro de varias aplicaciones que dicen ser antivirus, cuando en realidad no lo son.

Este troyano actúa en tres fases: en la primera fase se hace pasar por un antivirus y el usuario se lo instala, en una segunda fase extrae una versión reducida del malware SharkBot, mientras que en una tercera fase se descarga una versión más nueva del malware que cuenta con muchas más capacidades.

Los investigadores han logrado encontrar este troyano en cuatro aplicaciones que se hacían pasar por antivirus, y todas ellas suman más de 57.000 descargas, y son las siguientes:

• Antivirus Super Cleaner (1000+ instalaciones).
• Alpha Antivirus Cleaner (5,000+ instalaciones).
• Atom Clean-Booster antivirus (500+ instalaciones).
• Powerful Cleaner antivirus (50,000+ instalaciones).

El troyano es tan sofisticado como otros tales como FluBot o TeaBot, y es capaz de desviar credenciales para transferir dinero desde dispositivos comprometidos.

Básicamente lo que hace es basarse en el sistema de transferencia automática (ATS) que permite a los atacantes mover dinero de forma automática desde la cuenta de la víctima y sin intervención humana.

Así que ATS se usa para engañar al sistema de detección de fraude de un banco mediante la creación de una secuencia de acciones similar a la que hace normalmente un usuario para gestionar estas aplicaciones.

El troyano es capaz de tomar el control de un dispositivo si la víctima le acaba concediendo permisos de servicios de accesibilidad. Con ello el malware puede realizar un ataque de superposición en cuanto el usuario abra algún tipo de aplicación bancaria, lo que mostrará una pantalla similar de introducción de credenciales.

Si el usuario introduce sus credenciales, como tiene activado el registro de teclas, los ciberdelincuentes sabrán su contraseña de acceso, información personal determinada y demás.

Por si fuera poco, este troyano también puede interceptar y ocultar mensajes SMS, secuestrar notificaciones entrantes y enviar mensajes que se originan desde el servidor de los ciberdelincuentes.