Incremento de Ataques a Aplicaciones Android
Los hackers de Android están atacando más de 800 aplicaciones en los sectores de banca, criptomonedas y redes sociales. La firma de ciberseguridad Zimperium ha informado que sus investigadores han identificado cuatro familias de malware activas que utilizan una infraestructura avanzada de comando y control para robar credenciales, realizar transacciones financieras no autorizadas y exfiltrar datos a gran escala.
«Colectivamente, estas campañas apuntan a más de 800 aplicaciones en los sectores de banca, criptomonedas y redes sociales. Al emplear técnicas avanzadas de anti-análisis y manipulación estructural de APK, estas familias suelen mantener tasas de detección casi nulas frente a mecanismos de seguridad tradicionales basados en firmas»
Familias de Malware Identificadas
Las familias de malware identificadas son RecruitRat, SaferRat, Astrinox y Massiv. Los atacantes comúnmente dependen de sitios web de phishing, ofertas de trabajo fraudulentas, actualizaciones de software falsas, estafas por mensajes de texto y ganchos promocionales para convencer a las víctimas de instalar aplicaciones maliciosas en sus dispositivos Android.
Funcionamiento del Malware
Una vez instalados, el malware puede:
- Solicitar permisos de accesibilidad
- Ocultar íconos de aplicaciones
- Bloquear intentos de desinstalación
- Robar PINs y contraseñas a través de pantallas de bloqueo falsas
- Capturar códigos de un solo uso
- Transmitir pantallas de dispositivos en vivo
- Superponer páginas de inicio de sesión falsas en aplicaciones legítimas de banca o criptomonedas
«Los ataques de superposición siguen siendo la piedra angular del ciclo de recolección de credenciales. Usando servicios de accesibilidad para monitorear el primer plano, el malware detecta el momento exacto en que una víctima lanza una aplicación financiera. Luego, el malware obtiene una carga útil HTML maliciosa y la superpone a la interfaz de usuario de la aplicación legítima, creando una fachada engañosa y altamente convincente»
Medidas de Evasión
Zimperium también señaló que estas campañas utilizan comunicaciones HTTPS y WebSocket para mezclar el tráfico malicioso con la actividad normal de la aplicación, mientras que algunas variantes añaden capas de cifrado adicionales para evadir la detección.
