En las últimas semanas se ha detectado un nuevo troyano para Android que está afectan a usuarios españoles y que se distribuye como si se tratase una aplicación legítima del servicio de paquetería FedEx.
El investigador de seguridad Daniel López fue el primero en dar la voz de alarma en Twitter sobre una nueva campaña de malware que estaba propagándose a través de mensajes de texto, en los que se proporciona al usuario un enlace a una falsa web de FedEx.
Como podemos apreciar, la web fraudulenta solicita al usuario la instalación de una aplicación para Android con el objetivo de que éste pueda rastrear su deseado paquete. En realidad no hay ningún paquete, y lo único que conseguirá la víctima es instalar una aplicación maliciosa, concretamente un troyano bancario.
Este troyano tiene con principal finalidad robar las credenciales bancarias de sus víctimas, y para ello implementa las técnicas habituales utilizadas por los todos los bankers populares para Android, como ya hemos introducido en otras ocasiones cuando hemos hablado de Cerberus o el reciente Toddler.
Estas estrategias se basan en el abuso de los permisos de accesibilidad para instalar un servicio de accesibilidad en el sistema infectado, lo que permite al troyano recibir todos aquellos eventos de accesibilidad que se producen cuando el usuario interactua con la interfaz. De esta forma, el malware puede mostrar una vista web con una página de phishing (técnica de overlays) tan pronto como detecta la apertura de la aplicación bancaria, o directamente registrar los eventos de cambio en los campos de texto de la aplicación. Pudiendo así obtener el usuario y la contraseña que la víctima introduce en los formularios de la aplicación legítima (keylogging).
La gran diferencia con respecto a las familias anteriormente conocidas se encuentra en el uso de un algoritmo de generación de nombres de dominio, que le permite generar un máximo de 2000 dominios diferentes al mes. De esta forma, el bloqueo de la comunicación con el servidor de control se complica, ya que deben bloquearse estos 2000 dominios que genera cada mes la aplicación (24000 al año).
Con este ya son tres los nuevos troyanos bancarios que han aparecido este 2021, y el año solo acaba de comenzar. Debemos seguir atentos a las nuevas amenazas que nos depara este nuevo año.
Más información:
Informe servicio Malware Hispasec: https://hispasec.com/resources/FedexBanker.pdf
Comentarios recientes