WhatsApp prepara un “modo vacaciones” para silenciar chats
29/10/2018
Por qué es buena idea usar papel de aluminio para mejorar la señal de tu wifi
29/10/2018

Estas aplicaciones de Android ponen en peligro tus datos bancarios

Las app están instaladas en más de 30.000 móviles

¿Existen aplicaciones maliciosas en las tiendas virtuales de Apple y Google? Las hay y además su actuación es discreta y sigilosa. Los creadores de malware continúan poniendo en aprietos a los desarrolladores, a los ingenieros de seguridad y, en último lugar, a los usuarios.
Un grupo de investigadores de ESET ha descubierto un total de 29 aplicaciones infectadas en la Play Store con un «sigiloso» troyano «disfrazados como complementos para el dispositivo y limpiadores, administradores de batería y hasta apps de horóscopo», explican los expertos en seguridad.
Este tipo de virus es controlado de forma remota y es capaz de afectar cualquier aplicación que encuentren en el dispositivo de la víctima mediante formularios de phishing personalizados.
Además, pueden interceptar y redirigir mensajes de texto para evadir sistemas de doble factor de autenticación con base en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en los dispositivos comprometidos. «Estas apps maliciosas fueron subidas en su mayoría bajo el nombre de diferentes desarrolladores, pero las similitudes en el código y un mismo servidor C&C sugieren que estas apps son obra de un solo atacante o grupo”
Tras la alerta, descubierta entre agosto y principios de este mes, Google ha eliminado de su tienda virtual las 29 aplicaciones, sin embargo “las apps llegaron a ser instaladas por aproximadamente 30.000 usuarios en total”.
Instalada y ya ejecutada, la aplicación suele mostrar un mensaje de error que señala que las apps «han sido removidas debido a una incompatibilidad con el dispositivo de la víctima». Sin embargo, luego se esconden o siguen realizando la actividad ofrecida, pero una vez ya infectado el dispositivo.
La principal función maliciosa está escondida en un payload cifrado ubicado en los assets de cada app. Este payload es codificado en base64 y luego cifrados con un cifrado RC4 utilizando una llave hardcodeada.
La primera fase de la actividad del malware es un dropper que inicialmente corrobora si existe la presencia de un emulador o de un sandbox. Si estos chequeos fallan, entonces descifra y libera un loader junto con un payload que contiene el actual malware bancario.

Área ClientesCorreo WEB