Amenaza de Malware en Android: Seis Familias Atacan Pagos y Aplicaciones Financieras
Publicado el
Seis Familias de Malware en Android Apuntan a Pagos y Aplicaciones Financieras
Investigadores de ciberseguridad han descubierto seis nuevas familias de malware en Android que tienen la capacidad de robar datos de dispositivos comprometidos y llevar a cabo fraudes financieros. Este software malicioso incluye desde troyanos bancarios tradicionales como PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT, hasta herramientas de administración remota como SURXRAT.
PixRevolution: Un Nuevo Enfoque de Fraude
Según Zimperium, PixRevolution se dirige a la plataforma de pagos instantáneos Pix de Brasil, interceptando las transferencias de dinero en tiempo real para redirigirlas a los atacantes. Este malware actúa de manera discreta hasta que la víctima inicia una transferencia, momento en el cual un operador, ya sea humano o mediante inteligencia artificial, observa la pantalla del dispositivo, listo para actuar en el instante de la transacción.
Los métodos de propagación del malware incluyen páginas de listado falsas en Google Play Store para aplicaciones populares como Expedia, Sicredi y Correios, engañando a los usuarios para que instalen archivos APK maliciosos. Una vez instaladas, las aplicaciones solicitan a los usuarios que habiliten servicios de accesibilidad para llevar a cabo sus objetivos maliciosos. Además, se conectan a un servidor externo a través de TCP en el puerto 9000 para enviar información del dispositivo y activar la captura de pantalla en tiempo real mediante la API MediaProjection de Android.
La funcionalidad principal de PixRevolution consiste en monitorear la pantalla de la víctima y presentar una superposición falsa en el momento en que se introduce el monto y la clave Pix del destinatario para iniciar el pago. Durante este proceso, se muestra un mensaje de espera, mientras en segundo plano se modifica la clave Pix para que coincida con la del atacante. Al final, la víctima ve un mensaje de confirmación que indica que la transferencia se ha completado, sin darse cuenta de que el dinero ha sido desviado.
BeatBanker: Una Amenaza Persistente
Otro malware que afecta a los usuarios brasileños es BeatBanker, el cual se distribuye principalmente a través de ataques de phishing mediante un sitio web que imita a Google Play Store. Este malware utiliza un mecanismo de persistencia inusual al reproducir un archivo de audio casi inaudible en bucle, lo que impide que sea eliminado. Además, monitorea la temperatura y porcentaje de batería, y utiliza Firebase Cloud Messaging para la comunicación con el servidor.
Los APK maliciosos de BeatBanker incluyen múltiples componentes, como un minero de criptomonedas y un troyano bancario que puede tomar el control total del dispositivo y suplantar pantallas. Cuando el usuario intenta realizar una transacción de USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, reemplazando de forma encubierta la dirección de destino por la del atacante.
TaxiSpy RAT y Otras Amenazas
TaxiSpy RAT, al igual que PixRevolution, abusa de los servicios de accesibilidad de Android y las APIs de MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas y otros datos sensibles. Este malware combina las funcionalidades de un troyano bancario con capacidades de RAT, permitiendo a los atacantes robar credenciales de aplicaciones financieras y gubernamentales.
En conclusión, estas nuevas familias de malware representan una seria amenaza para los usuarios de Android, especialmente en Brasil, donde las aplicaciones de pago y banca son objetivos comunes. La combinación de técnicas sofisticadas y la capacidad de operar en segundo plano hacen que la detección y prevención de estos ataques sea un desafío crítico para los usuarios y profesionales de la ciberseguridad.