Nuevo malware móvil llamado Escobar ataca aplicaciones bancarias y financieras en Android

El malware móvil está volviéndose cada vez más poderoso contra aplicaciones bancarias y financieras, especialmente en sistemas operativos Android. Ahora, una investigación de Cyble revela que se ha lanzado una nueva versión del malware móvil Aberebot, llamado Escobar.

Se encontró una versión de este malware en la naturaleza, haciéndose pasar por McAfee al utilizar la marca en el nombre de archivo McAfee9412.apk y también utilizando el logo de McAfee como anzuelo (Imagen A). Este fragmento de código puede robar prácticamente todo de los teléfonos que infecta, incluidos los códigos de autenticación múltiple de Google Authenticator.

Imagen A

Una inversión costosa para los ciberdelincuentes, o eso parece

Cyble Research Labs expuso una oferta del desarrollador detrás de Escobar publicada en la dark web, que muestra que actualmente es posible alquilarlo por $3,000 USD al mes, y una vez que deje de ser una versión beta, aumentará a $5,000 USD al mes. El desarrollador insiste en el aspecto de beta y en la posibilidad de errores, por lo que sólo lo alquila a cinco clientes (Imagen B).

Imagen B

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Este es un modelo de negocio interesante, ya que el desarrollador puede hacer que las personas prueben, ejecuten y usen el malware y proporcionen comentarios sobre posibles errores, mientras que aún ganan dinero con él. Viendo el precio de la versión beta, uno podría esperar que los clientes de este malware sean ciberdelincuentes experimentados que confían en su capacidad para monetizar rápidamente el malware.

No se expone el vector de infección por parte del desarrollador. Si estuviera disponible directamente a través de una tienda de aplicaciones legítima, esperaríamos que el ciberdelincuente escribiera sobre ello, ya que aumentaría el valor del malware. Cyble menciona que, según su investigación, "este tipo de malware se distribuye únicamente a través de fuentes distintas a Google Play Store."

La versión anterior del malware, llamada Aberebot, apareció a mediados de 2021 y ya ha atacado a más de 140 entidades financieras en 18 países, lo que demuestra que el desarrollo de este malware está activo.

Funcionalidades de Escobar

Como dato interesante, el desarrollador escribe al respecto: "¡El malware no funciona en Xiaomi MIUI 11 y versiones superiores, ya que la interfaz de usuario no permite que los servicios en segundo plano inicien actividades (que es cómo funcionan las inyecciones)!"

Como se mencionó, la versión de Escobar encontrada en la naturaleza parece hacerse pasar por McAfee (Imagen C).

Imagen C

Cómo proteger tu computadora de los virus: métodos y consejos

El malware necesita 25 permisos diferentes del usuario, de los cuales actualmente abusa de 14. Puede:

• Recopilar la ubicación del dispositivo
• Recopilar datos de contacto (números de teléfono, direcciones de correo electrónico)
• Recopilar SMS
• Enviar SMS a un número de teléfono específico o a todos los contactos
• Recopilar registros de llamadas
• Robar registros de teclas de aplicaciones
• Robar archivos multimedia
• Grabar audio
• Usar el visor VNC para controlar remotamente el dispositivo infectado
• Tomar fotografías
• Inyectar URLs
• Instalar/desinstalar otras aplicaciones
• Robar códigos de Google Authenticator
• Eliminar el malware a sí mismo

Toda la información recopilada y robada se envía directamente a un servidor de control y comando.

Malware orientado financieramente

Como otros troyanos bancarios, Escobar superpone formularios de inicio de sesión falsos en la pantalla del teléfono para engañar al usuario y hacer que proporcione sus credenciales para aplicaciones de banca electrónica u otros sitios web orientados financieramente.

Un aspecto particularmente temible de este malware es que también roba códigos de Google Authenticator, lo que abre nuevas posibilidades de fraude para el atacante que utiliza el malware y permite evitar la autenticación de dos factores (2FA).

Si el usuario del teléfono utiliza SMS o Google Authenticator como método de 2FA, el atacante podría eludir ambos métodos.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Cómo prevenir una infección de malware

Para protegerte de malware móvil, es importante:

• Instalar aplicaciones de seguridad completas en tu dispositivo para protegerlo.
• No hacer clic en ningún enlace que llegue a tu teléfono móvil, sin importar la aplicación que utilice, si proviene de una fuente desconocida.
• Avoid unknown application.
• Nunca descargar aplicaciones de terceros o fuentes no confiables.
• Verificar los permisos al instalar cualquier aplicación. Las aplicaciones solo deben solicitar permisos para API necesarias. Ten especial precaución con las aplicaciones que solicitan privilegios para la gestión de SMS.
• Tener mucho cuidado con las aplicaciones que solicitan actualizaciones inmediatamente después de su instalación. Una aplicación descargada desde Play Store se supone que es la última versión. Si la aplicación solicita permiso de actualización en la primera ejecución, inmediatamente después de su instalación, es sospechosa y podría ser una señal de que el malware está intentando descargar más funcionalidades.
• Habilitar 2FA. Si es posible, utiliza Google Authenticator o SMS en otro dispositivo distinto al que se utiliza para cualquier acción financiera. Ese dispositivo debe estar a salvo del malware. De esta manera, incluso con las credenciales robadas en mano, un atacante no podrá eludir la solicitud de 2FA.

Nota: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo malware móvil llamado Escobar ataca aplicaciones bancarias y financieras en Android , tenemos lo ultimo en tecnología 2023.