Visto: 180

El nuevo malware 'Alien' puede robar contraseñas de 226 aplicaciones en teléfonos Android

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

La mayoría de los objetivos son aplicaciones bancarias, pero Alien también puede mostrar páginas de phishing para aplicaciones sociales, de mensajería instantánea y de criptomonedas.

Los investigadores de seguridad han descubierto y analizado una nueva variedad de malware en teléfonos Android que viene con una amplia gama de características que permiten robar credenciales de 226 aplicaciones.

Con el nombre de Alien, este nuevo troyano ha estado activo desde principios de año y se ha ofrecido como una oferta de Malware-as-a-Service (MaaS) en foros clandestinos de piratería.

En un informe de ZDNet, los investigadores de seguridad de ThreatFabric profundizaron en las publicaciones del foro y las muestras de Alien para comprender la evolución, los trucos y las características del malware.

 

CERBERUS FUERA, ALIEN DENTRO

Según los investigadores, Alien no es realmente un código nuevo, sino que en realidad se basó en el código fuente de un grupo rival de malware llamado Cerberus.

Cerberus, aunque era un MaaS activo el año pasado, fracasó este año, y su propietario intentó vender su código base y su base de clientes, antes de finalmente filtrarlo de forma gratuita.

ThreatFabric dice que Cerberus se extinguió porque el equipo de seguridad de Google encontró una forma de detectar y limpiar los dispositivos infectados. Pero incluso si Alien se basó en una versión anterior de Cerberus, Alien no parece tener este problema, y su MaaS intervino para llenar el vacío dejado por la desaparición de Cerberus.

Y los investigadores dicen que Alien es incluso más avanzado que Cerberus, un troyano respetable y peligroso por derecho propio.

 

ALIEN PUEDE INTERCEPTAR ALGUNOS CÓDIGOS 2FA,
INFECTANDO TONELADAS DE APLICACIONES

ThreatFabric dice que Alien es parte de una nueva generación de troyanos bancarios para Android que también han integrado funciones de acceso remoto en sus bases de código.

Esto hace que Alien sea una mezcla peligrosa con la cual uno puede infectarse. Alien no solo puede mostrar pantallas de inicio de sesión falsas y recopilar contraseñas para varias aplicaciones y servicios, sino que también puede otorgar a los piratas informáticos acceso a dispositivos para usar dichas credenciales o incluso realizar otras acciones.

Según ThreatFabric, Alien, actualmente, cuenta con las siguientes capacidades:

  • - Puede superponer contenido sobre otras aplicaciones (función utilizada para las credenciales de inicio de sesión de (phishing))
  • - Registrar entrada de teclado
  • - Proporcionar acceso remoto a un dispositivo después de instalar una instancia de TeamViewer
  • - Recolectar, enviar o reenviar mensajes SMS
  • - Robar lista de contactos
  • - Recopilar detalles del dispositivo y listas de aplicaciones
  • - Recopilar datos de ubicación geográfica
  • - Realizar solicitudes de USSD
  • - Desviar llamadas
  • - Instalar e iniciar otras aplicaciones
  • - Inicie los navegadores en las páginas deseadas
  • - Bloquear la pantalla para una función similar a un ransomware
  • - Notificaciones de rastreo mostradas en el dispositivo
  • - Robar códigos 2FA generados por aplicaciones de autenticación

Esa es una variedad de características bastante impresionante. ThreatFabric comenta que estos se utilizan principalmente para operaciones relacionadas con el fraude, como suelen ser la mayoría de los troyanos de Android en estos días, con los piratas informáticos eligiendo como blanco las cuentas en línea, en busca de dinero.

Durante su análisis, los investigadores dijeron que encontraron que Alien tenía soporte para mostrar páginas de inicio de sesión falsas para otras 226 aplicaciones de Android (lista completa en el informe ThreatFabric).

La mayoría de estas páginas de inicio de sesión falsas tenían como objetivo interceptar credenciales para aplicaciones de banca electrónica, lo que respalda claramente su evaluación de que Alien estaba destinado al fraude.

Sin embargo, Alien también apuntó a otras aplicaciones, como aplicaciones de correo electrónico, redes sociales, mensajería instantánea y criptomonedas (es decir, Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp, etc.).

La mayoría de las aplicaciones bancarias a las que se dirigian los desarrolladores de Alien fueron para instituciones financieras con sede principalmente en España, Turquía, Alemania, EE.UU., Italia, Francia, Polonia, Australia y el Reino Unido. 

 20201009 02Image: ThreatFabric

 

ThreatFabric no incluyó detalles sobre cómo Alien llega a los dispositivos de los usuarios, principalmente porque esto varía en función de cómo los clientes de Alien MaaS (otros grupos criminales) eligieron distribuirlo.

"Gran parte parece distribuirse a través de sitios de phishing, por ejemplo, una página maliciosa que engaña a las víctimas para que descarguen actualizaciones de software o aplicaciones falsas de Corona (que sigue siendo un truco común en este momento) ", dijo a ZDNet Gaetan van Diemen, analista de malware de ThreatFabric.

"Otro método que se ha observado que es utilizado es el SMS, una vez que infectan un dispositivo, recopilan la lista de contactos que luego reutilizan para una mayor difusión de su campaña de malware", agregó.

Algunas aplicaciones maliciosas llegan a Play Store, de vez en cuando, pero la mayoría de las veces, se distribuyen a través de otros medios, dijo van Diemen.

Todas estas aplicaciones sospechosas contaminadas con Alien se pueden detectar fácilmente, ya que a menudo requieren que los usuarios le otorguen acceso como administrador o al servicio de accesibilidad.

Como puede parecer evidente un consejo es "no instales aplicaciones de sitios sospechosos y otórgales derechos de administrador", no todos los usuarios de Android son lo suficientemente técnicos para entenderlo, y muchos usuarios descargarán e instalarán aplicaciones desde cualquier ubicación, y luego simplemente haga clic en todas las indicaciones durante la instalación.

Así es como funciona el malware en general, dirigido a usuarios no técnicos y a los no "expertos". Y hay muchos de estos usuarios no técnicos, por lo que el malware de Android es un gran negocio en estos días en los foros de piratería.

 

Entonces ... no instales aplicaciones de sitios sospechosos y otórgales derechos de administrador.

 

Fuente de información: https://www.zdnet.com/article/new-alien-malware-can-steal-passwords-from-226-android-apps/