Investigadores de ESET han descubierto un nuevo malware bancario con capacidades de bloqueo de pantalla, escondido en una aplicación de pronóstico del tiempo que simulaba a la benigna "Good Weather".
Este malware es detectado por ESET como Trojan.Android/Spy.Banker.HU
La app falsa logró evadir los mecanismos de seguridad de Google y apareció en la tienda móvil el 4 de febrero. Tras ser reportada por ESET dos días después, fue eliminada, aunque durante su corta vida llegó a los dispositivos de 5.000 usuarios. Además de las funcionalidades de pronóstico climático que adoptó de la versión legítima, la versión troyanizada era capaz de robar las credenciales para el acceso a banca online, bloquear y desbloquear los dispositivos infectados remotamente e interceptar mensajes de texto.
"Una vez instalada la app y concedidos los derechos de administrador, el malware empezaba a trabajar, compartiendo información del dispositivo con su servidor de C&C. Dependiendo del comando que éste le devolviera, podía interceptar mensajes de texto recibidos y enviarlos al servidor, bloquear y desbloquear remotamente el dispositivo estableciendo una contraseña de su elección y recolectar credenciales bancarias", explican los investigadores de ESET
La investigación completa de los analistas de ESET revela que los troyanos bancarios eran versiones modificadas de un código fuente disponible en foros rusos de Internet desde diciembre de 2016, a pesar de que aparentaban ser totalmente nuevos, por lo que se prevé que proliferen nuevos ataques similares.
El 23 de febrero la botnet fue desactivada a raíz de la información aportada por ESET
"Además de que el código malicioso estaba disponible para prácticamente cualquier interesado, el propio servidor también estaba accesible para cualquiera que conociera la URL, sin necesidad de conseguir credenciales", afirma Lukas Stefanko, investigador de ESET. "Existen herramientas para crear malware para Android que son muy fáciles de conseguir, por lo que los usuarios de esta plataforma deberían aumentar su protección", advierte.
El 23 de febrero la botnet fue desactivada a raíz de la información aportada por ESET. El análisis del servidor reveló que la botnet contenía hasta 2.810 víctimas de 48 países. Dado que la versión troyanizada de la app ya fue eliminada de la tienda, es seguro descargar Good Weather tal y como la entregó a Google Play el desarrollador AsdTm.
Si (
No(
