Los dispositivos Android han sido el objetivo más común y favorito de malware como Trojan debido a la falta del ecosistema de un mecanismo centralizado para implementar actualizaciones y correcciones de seguridad.
Pero a diferencia de la mayoría de los troyanos que se dirigían a teléfonos Android en el pasado, un nuevo troyano bancario móvil aumenta su nivel de sofisticación con nuevas capacidades para desafiar los intentos de eliminación y eludir la autenticación de dos factores. Los investigadores de seguridad de ESET fueron los primeros en detectar el troyano que oculta su identidad real bajo el manto de una aplicación de banca móvil. En realidad, funciona para robar credenciales bancarias móviles y robar datos confidenciales.
Los bancos con sede en Nueva Zelanda, Australia y Turquía fueron los primeros en ver al troyano en funcionamiento, ya que sus clientes habían sido atacados por el malware. El troyano está diseñado para copiar la aplicación móvil basada en FlashPlayer de un banco para engañar a sus víctimas objetivo. Al mismo tiempo que realiza la replicación de la aplicación móvil, el troyano también pasa por alto capas adicionales de seguridad, como la autenticación de dos factores.
Debido a la apariencia casi perfecta de la aplicación bancaria, un usuario estaría convencido de otorgarle privilegios administrativos una vez que se descarga e instala en el dispositivo. La solicitud de derechos administrativos es el primer intento del troyano de defenderse de futuros intentos de eliminarlo porque para entonces se oculta a la vista del propietario. Según los investigadores de ESET, los derechos administrativos dificultan la desinstalación del troyano.
El malware continúa expulsando el icono de Flash Player del banco del dispositivo antes de que el troyano contacte con el servidor de comando y control para enviar datos básicos del teléfono, como el número de IMEI, el modelo, la versión del kit de desarrollo de software e información adicional sobre si el administrador del dispositivo está activo.
Una vez que esos datos se transmiten al servidor de comando y control, el atacante recopila datos sobre las aplicaciones instaladas en el dispositivo antes de falsificar una página de inicio de sesión falsa de una empresa bancaria que servirá como vector de ataque. Una vez hecho esto, el troyano recopilaría otros datos personales sensibles, como información en la cuenta de Google de un usuario. El usuario solo podrá eliminar la página de inicio de sesión falsa ingresando las credenciales de inicio de sesión.
Cuando el troyano complete todo el procedimiento para lanzar su ataque, el malware tendrá la capacidad de evitar incluso los protocolos de seguridad más seguros adoptados por las empresas en la actualidad, como la autenticación de dos factores en la que se enviará un SMS al usuario. para mayor verificación. Cuando el propietario intenta desinstalar la aplicación, los expertos en seguridad advierten que es posible que se eliminen algunos datos o que el dispositivo incluso se desactive.
