Los ciberdelincuentes son cada vez más innovadores y sigilosos con cada día que pasa. Las técnicas tradicionales han evolucionado y se han convertido en más sigilosos ya que vienen con vectores de ataque ilimitados y más difíciles de detectar.
Los investigadores de seguridad han descubierto que una de las más peligrosas familias de troyanos bancarios de Android ha sido modificada para agregar un keylogger a su código base, dando a los atacantes otra forma de robar datos sensibles a sus víctimas.
El analista de este software malicioso Roman Unuchek, de Kaspersky Lab, descubrió una nueva variante del famoso troyano bancario de Android, llamado Svpeng, a mediados del mes pasado con una nueva característica de keylogger, que aprovecha los servicios de accesibilidad de Android.
Este cambio hace que el troyano Svpeng no sólo pueda robar el texto introducido de otras aplicaciones instaladas en el dispositivo y registrar todas las pulsaciones de teclas, sino también conceder más permisos y derechos para evitar que las víctimas desinstalen el troyano.
En noviembre del año pasado, el troyano bancario de Svpeng infectó más de 318.000 dispositivos Android en todo el mundo durante en sólo dos meses con la ayuda de anuncios de Google AdSense que fueron abusados para distribuir este troyano.
Hace más de un mes, los investigadores también descubrieron otro ataque aprovechando los servicios de accesibilidad de Android, denominados ataque de capa y daga, que permite a los hackers tomar silenciosamente el control total de los dispositivos infectados y robar datos privados.
A pesar de que la nueva variante del malware Svpeng aún no está ampliamente difundida, el malware ya ha afectado a usuarios en 23 países a lo largo de una semana, entre los que se incluyen Rusia, Alemania, Turquía, Polonia y Francia.
Pero lo que vale la pena notar que, aunque la mayoría de los usuarios infectados son de Rusia, la nueva variante de Svpeng Trojan no realiza acciones maliciosas en esos dispositivos.
¿Cómo funciona el malware?
Según Unuchek, después de infectar el dispositivo, el troyano comprueba primero el idioma del dispositivo. Si el idioma es el ruso, el malware previene otras tareas maliciosas, lo que sugiere que el grupo criminal detrás de este malware es ruso, y de esta forma están evitando violar las leyes rusas por hackear a usuarios locales.
Unuchek dice que la última versión de Svpeng que vio en julio estaba siendo distribuida a través de sitios web maliciosos que se disfrazaban de un falso reproductor Flash. Una vez instalado, como ya se ha mencionado anteriormente, el malware comprueba primero el idioma del dispositivo y si el idioma no es el ruso, solicita al dispositivo que utilice Accessibility Services, lo que abre el dispositivo infectado a una serie de ataques peligrosos.
Al tener acceso a los Servicios de Accesibilidad, el troyano se concede derechos de administrador del dispositivo, muestra una superposición en la parte superior de las aplicaciones legítimas, se instala como una aplicación SMS predeterminada y se concede algunos permisos dinámicos, como la capacidad de realizar llamadas, enviar y recibir mensajes SMS y leer contactos.
Además, con sus capacidades administrativas recién adquiridas, el troyano puede bloquear todos los intentos de las víctimas para eliminar los derechos de administrador del dispositivo, evitando así la desinstalación del malware. Con lo cuál la única forma de remover el malware es un reseteo de fábrica.
Una vez obtenidos todos los permisos necesarios, este troyano captura la mayor cantidad de información del usuario, enfocándose en aplicaciones de banca electrónica, toda la información robada se carga en el servidor de C&C (Comandos y Control) de los atacantes. Como parte de su investigación, Unuchek dijo que logró interceptar un archivo de configuración cifrado del servidor C&C del software malicioso.
Descifrar el archivo le ayudó a encontrar algunos de los sitios web y aplicaciones que son el objetico de Svpeng, así como ayudarle a obtener una URL con páginas de phishing tanto para lasaplicaciones móviles de PayPal y eBay, junto con enlaces para aplicaciones bancarias de Reino Unido, Alemania, Turquía, Australia, Francia, Polonia y Singapur.
Además de las URL, el archivo también permite que el malware reciba varios comandos del servidor de C&C, que incluye enviar SMS, recopilar información como contactos, aplicaciones instaladas y registros de llamadas, abrir el enlace malicioso, recopilar todos los SMS desde el dispositivo y robar mensajes entrantes. SMS.
¿Cómo podemos protegernos de este malware?
Dado que con solo los servicios de accesibilidad, este troyano bancario obtiene todos los permisos y derechos necesarios para robar muchos datos de los dispositivos infectados y que las técnicas maliciosas del malware Svpeng funcionan incluso en dispositivos Android completamente actualizados con la última versión de Android y todas las actualizaciones de seguridad instaladas, por lo que es poco lo que los usuarios podemos hacer para protegernos.
Existen medidas de protección estándar que se deberían seguir para evitar vernos afectados por este malware:
- Siempre instalar aplicaciones de fuentes confiables, como Google Play Store y AppStore for Android de Amazon, demás solo de desarrolladores confiables y verificados.
- Lo más importante es verificar los permisos de las aplicaciones antes de instalar las aplicaciones. Si cualquier aplicación está pidiendo más de lo que está destinado, simplemente no la instales.
- No descargues aplicaciones de fuentes de terceros, ya que la mayoría de las veces dicho malware se propaga a través de terceros no confiables.
- Evite los puntos de acceso Wi-Fi desconocidos y no seguros, además mantenga su Wi-Fi desactivado cuando no esté en uso.
- Nunca haga clic en los enlaces proporcionados en un SMS, MMS o correo electrónico. Incluso si el correo electrónico parece legítimo, es mejor ir directamente al sitio web de origen y verificar las posibles actualizaciones.
- Instale una buena aplicación antivirus que pueda detectar y bloquear dicho malware antes de que pueda infectar su dispositivo y mantenga siempre la aplicación actualizada.