Ha sido descubierto un nuevo troyano bancario para Android, que se hace pasar por la aplicación de Flash Player, ataca a los usuarios de, al menos, 90 de los bancos más importantes de Estados Unidos y Europa. Este malware puede ser considerado como muy avanzado y muy peligroso, especialmente porque tiene la capacidad de sortear la autentificación en dos fases por SMS. Algunas de las aplicaciones bancarias que ataca este malware incluyen Deutsche Bank, Santander, American Express, Coinbase, Credit Karma, Paypal y Wells Fargo, entre otras muchas.
El investigador de seguridad de Fortinet, Kai Lu, ha dicho que “los usuarios activos de aplicaciones bancarias para móviles deberían estar al corriente de un nuevo malware bancario para Android que ataca a los usuarios de grandes bancos en los Estados Unidos, Alemania, Francia, Australia, Turquía, Polonia y Austria. Este malware bancario puede robar las credenciales de acceso de 94 aplicaciones bancarias diferentes.”
“La aplicación muestra un pop up superpuesto a las aplicaciones. Si el usuario hace clic en el botón cancelar, se cierra la vista y luego se reinicia. De esta forma, siempre se muestra en la parte superior de la pantalla. Una vez que el usuario hace clic en el botón activar, el pop up desaparece, pero el troyano ha ganado privilegios de administrador en el dispositivo. El icono de Flash Player se esconde entonces, y deja de aparecer en la lista de aplicaciones, aunque el malware se mantiene activo en un segundo plano.”
Este troyano bancario también tiene la capacidad de atacar algunas de las aplicaciones de redes sociales más populares, entre las que se incluyen Google Play Store, la calculadora, Facebook, Facebook Messenger, WhatsApp, Skype, Snapchat, Twitter, Viber, Instagram y Snapchat.
Según los investigadores de seguridad, una vez instalada, esta aplicación falsa de Flash Player aparece en el Smartphone, y al abrirla, el malware engaña al usuario para que le dé privilegios de administrador. Una vez que los tiene activados, entonces la aplicación activa su mecanismo de defensa, que impide que el malware se pueda desinstalar.
Este malware puede interceptar mensajes SMS, lo que a su vez le da la capacidad de burlar la autentificación en dos fases por SMS. Este malware también puede enviar SMS y realizar un formateo del dispositivo. Es más, puede obtener información del dispositivo como el país en el que se encuentra, su código IMEI, su modelo y la versión de Android, el número de teléfono y mucho más, y envía estos datos a su servidor principal.
Lu ha tenido en cuenta que “los bancos que pueden ser víctimas de este ataque se encuentran en Estados Unidos, Alemania, Francia, Australia, Turquía, Austria y Polonia. Este malware también utiliza una pantalla de inicio de sesión falsa para engañar a los usuarios a introducir sus credenciales para las aplicaciones, y luego se las manda al servidor principal.”
Eliminación del malware
Por suerte, este troyano puede borrarse de un dispositivo infectado. La forma más fácil de hacerlo es quitarle los privilegios de administrador de forma manual. Esto se puede hacer si nos vamos a “configuración”, y después a la parte de “seguridad”, y a “administradores de dispositivo”, para por último hacer clic en “servicios de Google Play”, donde está la opción “desactivar”. Una vez que se desactivan los privilegios de administrador, los usuarios pueden dirigirse a Flash Player Update y hacer clic en desinstalar.
Todavía no está claro cuántas víctimas ha infectado ya este malware. No se sabe si la aplicación maliciosa ha sido descargada por muchos usuarios o no. Aquellos que sospechan que su dispositivo pueda haber sido infectado, especialmente si tienen tarjetas de crédito o realizan compras desde el teléfono móvil, deberían dirigirse a su banco cuanto antes y cancelar dichas tarjetas de crédito.
