Los autores de malware siguen probando la vigilancia de los usuarios de Android metiendo a escondidas troyanos de banca móvil en la tienda Google Play Store. Recientemente, en el blog de ESET han analizado un conjunto de 29 troyanos tan sigilosos, que se encuentran en la tienda oficial de Android desde agosto hasta principios de octubre de 2018 haciéndose pasar por dispositivos de refuerzo y limpiadores de dispositivos, administradores de baterías e incluso aplicaciones con temas de horóscopos.

Google Play Store
@ ESET

A diferencia de las aplicaciones maliciosas cada vez más frecuentes que se basan puramente en suplantar a las instituciones financieras legítimas y mostrar pantallas de inicio de sesión falsas, estas aplicaciones pertenecen a la categoría de malware de banca móvil sofisticada con una funcionalidad compleja y un gran enfoque en el sigilo.

¿Cómo funcionan estos troyanos bancarios?

Estos troyanos controlados de forma remota son capaces de dirigir dinámicamente cualquier aplicación que se encuentre en el dispositivo de la víctima con formularios de phishing personalizados. Aparte de esto, pueden interceptar y redirigir mensajes de texto para evitar la autenticación de dos factores basada en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en el dispositivo comprometido.  Las 29 aplicaciones maliciosas se han eliminado de la tienda oficial de Android mientras tanto, después de que ESET y otros investigadores notificaran a Google sobre su naturaleza maliciosa. Sin embargo, antes de ser retirados de la tienda, las aplicaciones fueron instaladas por casi 30,000 usuarios en total.

Una vez iniciadas, las aplicaciones muestran un error que afirma que se eliminaron debido a una incompatibilidad con el dispositivo de la víctima y luego se ocultan de la vista de la víctima u ofrecen la funcionalidad prometida, como mostrar los horóscopos. La funcionalidad maliciosa principal está oculta en una carga útil cifrada ubicada en los activos de cada aplicación.