Los usuarios de Android se infectan con un troyano bancario conocido como Wroba
Una campaña de motivación financiera que se dirige a dispositivos Android y propaga malware móvil a través de técnicas de phishing por SMS (Smishing) desde al menos 2018 ha extendido sus tentáculos para atacar por primera vez a víctimas ubicadas en Francia y Alemania.
Denominado Roaming Mantis (Mantis itinerante), la última serie de actividades observadas en 2021 implica el envío de falsos textos relacionados con el envío que contienen una URL a una página de destino desde donde los usuarios de Android se infectan con un troyano bancario conocido como Wroba, mientras que los usuarios de iPhone son redirigidos a una página de phishing que se enmascara como el sitio web oficial de Apple.
Los principales países afectados, según los datos de telemetría recopilados por Kaspersky entre julio de 2021 y enero de 2022, son Francia, Japón, India, China, Alemania y Corea.
También rastreado bajo los nombres MoqHao y XLoader (que no debe confundirse con el malware ladrón de información del mismo nombre dirigido a Windows y macOS), la actividad del grupo continuó expandiéndose geográficamente incluso cuando los operadores ampliaron sus métodos de ataque para extraer criptomonedas de dispositivos Apple y evadir la detección.
El objetivo principal de la campaña es implementar Wroba, que funciona tanto como spyware como malware bancario, con capacidades para reemplazar aplicaciones legítimas con versiones maliciosas y robar credenciales asociadas con las cuentas bancarias en línea de las víctimas.
Un análisis más detallado de los artefactos de malware ha revelado el cambio en el lenguaje de programación de Java a Kotlin y la adición de dos nuevos comandos de puerta trasera que permiten a Wroba extraer galerías y fotos de los dispositivos infectados.
"Un escenario posible es que los delincuentes roben detalles de cosas como licencias de conducir, tarjetas de seguro médico o tarjetas bancarias, para firmar contratos con servicios de pago con código QR o servicios de pago móvil", dijeron los investigadores. "Los delincuentes también pueden usar fotos robadas para obtener dinero de otras formas, como chantaje o sextorsión".
