Los investigadores de seguridad de Symantec han descubierto un troyano de Android que está diseñado para apuntar a los usuarios de los servicios bancarios en línea a través de varias páginas de phishing que los atacantes envían desde servidores en la nube.
Según sus hallazgos, el troyano Android.Fakelogin trabaja para copiar una página de inicio de sesión legítima de una aplicación bancaria que se ha instalado en el dispositivo objetivo y crear una página de inicio de sesión falsa, esencialmente una página de phishing, que los atacantes usarían para superponer el inicio de sesión legítimo de la aplicación.
Esta táctica se llama ingeniería social y tiene el potencial de extraer credenciales bancarias de un vasto grupo demográfico de usuarios. A diferencia de otras campañas de phishing que se disfrazan como una aplicación legítima, Android.Fakelogin, por otro lado, primero determina qué tipo de aplicación bancaria hay en el dispositivo y luego maniobra la interfaz de usuario de la aplicación superponiéndola con su página maliciosa personalizada.
Android.Fakelogin identifica qué página de phishing personalizar mediante la penetración de un servidor de comando y control remoto que aloja una lógica basada en la nube. Symantec afirma que es difícil aplicar ingeniería inversa al malware debido a la forma sigilosa en que opera.
El troyano parece funcionar en versiones antiguas de Android, con la excepción de Marshmallow. El malware se presenta como aplicaciones de juegos que se envían como cargas útiles desde el malware de descarga para llevar otro malware al dispositivo objetivo.
Una vez que el malware se descarga e instala en un dispositivo, se disfraza como una aplicación de SMS y fuerza el permiso para administrar la configuración del dispositivo. Es difícil detectar la aplicación falsa porque su icono está oculto.
Cuando el malware puede obtener el permiso requerido, comenzará a robar datos después de descargar varios nombres de paquetes de aplicaciones de la nube y los almacenará en lo que se denomina un archivo de preferencias. El archivo se utiliza para identificar las aplicaciones bancarias objetivo, que serán inyectadas a la fuerza con contenido malicioso para llevar a cabo la campaña de phishing.
El proceso de identificación incluye buscar el nombre de la aplicación que se ejecuta en el teléfono y si el resultado incluye el nombre de una aplicación que figura en el archivo de preferencias, el malware transmite el nombre del paquete de la aplicación a la nube para imitarlo.
El enfoque es muy flexible porque depende de la nube, lo que significa que las actualizaciones no son necesarias como es el caso de otros programas maliciosos para hacer frente a las herramientas de seguridad.
¿Cómo mitigar el problema de seguridad?
Se necesitan varios pasos para obtener el permiso, como la verificación de dos factores, para protegerse contra esta amenaza. Además, descargue el nuevo Android 6.0 Marshmallow porque las características de Android.Fakelogin no funcionan en él. Manténgase actualizado con su software y asegúrese de que las aplicaciones que instale provengan de tiendas de aplicaciones legítimas.
