Techbit

Apps de Android que están robando datos bancarios

Las aplicaciones ofrecen diversas funciones pero en realidad están propagando un malware

Infectan a los dispositivos con Clast82. Imagen Pixabay
23/03/2021 |06:00
Redacción
Pendiente este autorVer perfil

Desde las plataformas digitales hoy es posible realizar muchas tareas sin necesidad de salir de casa. Por ejemplo, hacer algunos pagos de servicios y . Ello implica que nuestros datos bancarios se están digitalizando y, como consecuencia, están en mayor riesgo . Si realizas este tipo de operaciones desde un dispositivo Android , tienes que saber que hay algunas apps que están propagando malware.

Investigadores de Check Point Research han descubierto un nuevo dropper , es decir un programa malicioso diseñado para introducir otro malware en el equipo de la víctima, que se está propagando a través de la Play Store de Google.

Apodado " Clast82 " por los investigadores, el dropper ejecuta un malware de segunda fase que proporciona al ciberdelincuente un acceso intrusivo a las cuentas bancarias de las víctimas, así como el control total de sus móviles.

Newsletter
Recibe en tu correo las noticias más destacadas para viajar, trabajar y vivir en EU

Los analistas de Check Point encontraron Clast82 dentro de apps de que prometen diversas funciones como la grabación de pantalla o crear una VPN para una navegación segura y secreta.

Clast82 introduce el malware-as-a-service AlienBot Banker , una amenaza de segunda fase que ataca a las aplicaciones bancarias eludiendo su factor de doble de autenticación. Además, Clast82 está compuesto por un troyano de acceso remoto móvil (MRAT) capaz de controlar el dispositivo con TeamViewer con lo que cibercriminal tiene acceso al equipo como si lo tuviera en sus manos.

¿Cómo actúa el “Clast82”?

Los investigadores de Check Point explican cuál el método de ataque que utiliza Clast82:

1. La víctima descarga una app maliciosa desde , que contiene el dropper Clast82.

2. Clast82 se comunica con el servidor de C&C para recibir la configuración.

3. Clast82 descarga en el dispositivo Android un payload recibido por la configuración, y lo instala, en este caso se trata de AlienBot Banker.

4. Los acceden a las c redenciales bancarias de la víctima y proceden a controlar el dispositivo por completo.

La compañía alertó también que Clast82 utiliza una serie de técnicas para evitar ser detectado por Google Play Protect , por ejemplo Firebase, una herramienta propiedad de Google que sirve como plataforma para la comunicación del malware con el dispositivo. Además, los cibercriminales tuvieron la atención de "desactivar" el comportamiento malicioso de Clast82 durante el periodo de evaluación por parte de Google.

“Las víctimas pensaban que estaban descargando una aplicación inocua del mercado oficial de Android, pero lo que realmente recibían era un peligroso troyano que iba directamente a sus cuentas bancarias. La capacidad del dropper para pasar desapercibido demuestra la importancia de contar con una de seguridad móvil. No basta con escanear la aplicación durante el periodo de evaluación, ya que un ciberdelincuente puede, y lo hará, cambiar el comportamiento de la aplicación utilizando herramientas de terceros fácilmente disponibles", señala Aviran Hazum, director de investigación de amenazas móviles en Check Point.

Apps de Android que están robando datos bancarios

Las 10 apps implicadas

Los ciberdelincuentes utilizaron las siguientes aplicaciones Android legítimas y conocidas de código abierto:

Cake VPN

Pacific VPN

eVPN

BeatPlayer

QR/Barcode Scanner MAX

Music Player

tooltipnatorlibrary

QRecorder

Es importante destacar que Check Point informó a sobre los hallazgos y, unos dias después, las aplicaciones dejaron de estar disponibles en la Play Store.