Un nuevo troyano bancario ha entrado recientemente en la Google Play Store abusando del Servicio de Accesibilidad de Android e infectando hasta a 5000 dispositivos. El troyano BankBot roba los detalles financieros de los usuarios de dispositivos Android fingiendo ser la propia Google Play. Los programas anti-malware de Play Store se han hecho fuertes en el pasado año, pero hay nuevo malware y variantes de troyanos bancarios cuyos creadores siguen estando un paso más lejos de la detección de Google. Investigadores de ESET han descubierto hace poco un potente troyano bancario, BankBot, que ha regresado a Play Store después de que lo expulsaran del mismo a principios de este año.
Mientras que el nuevo troyano retiene varias de sus capacidades, incluyendo el robo de datos financieros haciéndose pasar por Google, su método de intrusión en la Play Store se ha vuelto más sofisticado. Las aplicaciones que contenían BankBot han sido eliminadas de la Play Store después de que los investigadores del ESET notificasen a Google.
¿Cómo entra BankBot en los dispositivos Android?
Como advierten en Teiss.co.uk, los hackers detrás del troyano han desarrollado una versión duplicada de Jewel Star Classic, un popular juego Android, e incluyen el troyano como parte del paquete de descarga de la aplicación. El troyano se incluye como servicio pero no se dispara al momento para evadir la detección de malware de Google. En lugar de eso, los hackers han introducido un retraso de 20 minutos antes de que el servicio dispare y ejecute una ventana pop-up pidiéndole al usuario que active “servicios Google”.
Si el usuario hace clic en OK, se le dirige al menú de Ajustes de Accesibilidad y se le pide que active los servicios Google, que en realidad es el servicio de acceso del malware disfrazado. Una vez se le dan permisos, el troyano realiza funciones básicas como robar datos financieros, instalar aplicaciones de otras fuentes, activar el administrador del dispositivo para BankBot, escoger BankBot como la aplicación de mensajería SMS por defecto y obtener permiso sobre otras aplicaciones. Para evitar intrusiones de este tipo, estad atentos a la aplicación y no deis permisos que no vayáis a necesitar, como en este caso.
