Expertos de seguridad advierten a usuarios de Android que deberían prepararse para un repunte potencial en ataques de hackers después de que el código fuente e instrucciones paso a paso de un malware diseñado para robar credenciales bancarias se filtrase online a través de un foro underground. Expertos de Dr Web, una compañía rusa anti-malware, han dicho que la filtración ocurrió en algún momento del mes pasado y que ya había resultado en una variante de malware, apodada el Bankbot, que es capaz de esconderse sigilosamente en los teléfonos de sus víctimas y robar datos personales.
«Creemos que esto podría llevar a un incremento significativo del número de ataques relacionados con troyanos bancarios de Android,» han advertido los investigadores en un post de blog. Tras descargarse y analizar el código, los expertos han descubierto que es capaz de copiar a servicios populares incluyendo PayPal.
El troyano es distribuido por tiendas de apps de terceros disfrazado de servicios relacionados con Google. Una vez se descarga, pide privilegios administrativos y si la víctima se los da sin darse cuenta se transforma en una amenaza bancaria efectiva.
Directamente, BankBot conecta con el servidor de los criminales y espera instrucciones. Al mismo tiempo es capaz de esconderse eliminando automáticamente su atajo de la pantalla home del dispositivo.
Los privilegios ganados por el malware le dan al atacante la capacidad de enviar mensajes de texto, interceptar datos de llamadas, interceptar mensajes de texto, obtener todos los teléfonos del contacto, rastrear la geolocalización del dispositivo a través de satélites GPS y más.
BankBot también revisa el dispositivo Android en busca de aplicaciones bancarias. Ahora mismo, el malware parece estar concentrado en atacar usuarios de Rusia.
Tiene la capacidad de robar la información personal de la víctima rastreando el lanzamiento de aplicaciones como Facebook, Snapchat, WeChat, Instagram y Twitter. En cada instancia, lanza una pantalla de phising que se parece a la caja de diálogo de Google Play y pide detalles.
Esta caja pide información personal, incluyendo datos bancarios. Cuando el teléfono infectado recibe un mensaje de texto, el troyano es capaz de eliminar los sonidos y vibraciones y enviar el mensaje directamente a los criminales.
