Una nueva campaña de malware en Android ha sido descubierta por investigadores de seguridad. El malware imita las interfaces de apps populares como WhatsApp, Uber, Google Play, WeChat y otros para intentar convencer a los usuarios de Android para que divulguen sus datos de tarjeta de crédito. La firma de ciberseguridad FireEye ha descubierto varias cepas de malware que se extienden mediante campañas de phising en SMS. Hasta ahora tenían como objetivo usuarios de Android en Alemania, Austria, Italia, Dinamarca y Rusia. La compañía ha señalado que otros países europeos también podrían haber sido impactados por el malware.

malware

“A través de nuestra monitorización cercana del malware que se extiende a través de mensajes Smishing, hemos observado recientemente que este tipo de ataques no paraban a pesar de la publicidad de los investigadores de seguridad”, señala FireEye. La compañía también ha afirmado que “el código de malware ha evolucionado con el tiempo. El autor del malware parece estar trabajando con diligencia para mejorar el código añadiendo nuevas apps como objetivo, ocultando el código para evitar la detección e intentando sobrepasar las restricciones de App Ops.”

La campaña de smishing encuentra a sus víctimas vía SMS

“El smishing (phising SMS) ofrece un vector único para infectar usuarios móviles. Las últimas campañas de Smishing que azotan Europa muestran que Smishing aún es un medio popular para distribuir el malware”, dicen los investigadores de FireEye.

La compañía ha explicado que los hackers envían a las víctimas mensajes SMS con un link incrustado que redirige a los usuarios a una app maliciosa. Una vez instalado, el malware ha sido diseñado para permanecer durmiente hasta que detecta que los usuarios ejecutan una app benifna.

“El usuario inadvertido, asumiendo que están usando una app benifna, introducirá los credenciales de cuenta requeridos, que son enviados a servidores C2 remotos controlados por hackers”, dice FireEye.

Creciendo a marchas forzadas

Entre febrero y junio de 2016, Fireeye descubrió 55 campañas maliciosas en Europa.

“Todas las muestras de malware usan la misma técnica de sobreposición para conseguir credenciales bancarias, y todos comparten el mismo protocolo de comunicación C2”, añade FireEye. Las últimas modificaciones realizadas en el malware también indican que los “malhechores están mejorando su código activamente”.

URLs acortadas

Las URLs acortadas suelen ser usadas en los dispositivos móviles, y los hackers han empezado a usarlas también. FireEye observó que los cibercriminales usaban las URLs acortadas para evitar detección.

La compañía aconseja a los usuarios que no instalen apps “fuera de tiendas de apps oficiales”, añadiendo que los usuarios deberían ser cautos a la hora de hacer clic en links “de origen incierto”.

Compartir

Dejar respuesta