El troyano ha vuelto a aparecer en Google Play Store
Ojo a falsos mensajes del banco, son de phishing por SMS
El notorio troyano bancario para Android conocido como SharkBot ha vuelto a aparecer en Google Play Store haciéndose pasar por aplicaciones antivirus y de limpieza.
"Este nuevo cuentagotas (dropper) no depende de los permisos de Accesibilidad para realizar automáticamente la instalación del malware cuentagotas Sharkbot", dijo en un informe Fox-IT de NCC Group. "En cambio, esta nueva versión le pide a la víctima que instale el malware como una falsa actualización para que el antivirus permanezca protegido contra las amenazas".
Las aplicaciones en cuestión, Mister Phone Cleaner y Kylhavy Mobile Security, tienen más de 60.000 instalaciones entre ellas y están diseñadas para usuarios de España, Australia, Polonia, Alemania, EE. UU. y Austria.
• Mister Phone Cleaner (com.mbkristine8.cleanmaster, más de 50.000 descargas)
• Kylhavy Mobile Security (com.kylhavy.antivirus, más de 10.000 descargas)
Los droppers están diseñados para lanzar una nueva versión de SharkBot, denominada V2 por la empresa de seguridad holandesa ThreatFabric, que cuenta con un mecanismo de comunicación de comando y control (C2) actualizado, un algoritmo de generación de dominio (DGA) y una base de código completamente refactorizada.
Fox-IT dijo que descubrió una nueva versión 2.25 el 22 de agosto de 2022, que presenta una función para desviar cookies cuando las víctimas inician sesión en sus cuentas bancarias, al tiempo que elimina la capacidad de responder automáticamente a los mensajes entrantes con enlaces al malware para su propagación.
Al evitar los permisos de Accesibilidad para instalar SharkBot, el desarrollo destaca que los operadores están modificando activamente sus técnicas para evitar la detección, sin mencionar la búsqueda de métodos alternativos frente a las restricciones recientemente impuestas por Google para reducir el abuso de las API.
Otras notables capacidades de robo de información incluyen la inyección de superposiciones falsas para recopilar credenciales de cuentas bancarias, el registro de pulsaciones de teclas, la interceptación de mensajes SMS y la realización de transferencias de fondos fraudulentas utilizando el Sistema de Transferencia Automatizado (ATS).
No sorprende que el malware represente una amenaza omnipresente y en evolución y, a pesar de los continuos esfuerzos por parte de Apple y Google, las tiendas de aplicaciones son vulnerables al abuso sin saberlo para su distribución, con los desarrolladores de estas aplicaciones probando todos los trucos del libro para esquivar los controles de seguridad.
"Hasta ahora, los desarrolladores de SharkBot parecen haberse centrado en el cuentagotas para seguir usando Google Play Store para distribuir su malware en las últimas campañas", dijeron los investigadores Alberto Segura y Mike Stokkel.
Phishing por SMS
Aprovecho esta noticia para advertir de una campaña de phishing por SMS dirigida a cliente de LaCaixa que se está propagando en la actualidad. Se recibe en el teléfono un SMS como el de la imagen de abajo:
Como podemos ver es enviado por LACaixa que podemos asociar con CaixaBamk ya que La Caixa sólo existe como Fundación.
El supuesto mensaje del banco nos avisa de que nuestra tarjeta quedará inutilizada si no activamos un nuevo sistema de seguridad.
Si nos fijamos en el enlace vemos que el final es _laxaica ¿sospechoso no?
Ho hagáis nunca click en enlaces enviados por SMS por un supuesto banco, ellos no mandan SMS para que el cliente actualice sus datos, y el enlace lleva a una falsa página del banco que al introducir nuestros datos de acceso en la falsa plataforma web son recogidos por los delincuentes para posteriormente acceder a nuestra cuenta y dejarnos sin un euro.
