28 de diciembre de 2015

SLEMBUNK. El troyano que afecta a Android y crea formularios de inicio de sesión falsos

Expertos en seguridad de la empresa FireEye han sido los encargados de descubrir y analizar este troyano bancario que por el momento solo está afectando a los usuarios que poseen dispositivos Android. 
La metodología utilizada por los propietarios muchas veces es centrar sus esfuerzos en un territorio, de tal forma que al no conseguir más infecciones poco a poco Internet hace el trabajo y la amenaza se extiende de forma paulatina. Sin embargo, desde un primer momento los usuarios afectados han estado muy repartidos y hay que decir que existe alguno en nuestro país.
Aunque desde FireEye afirman que la prioridad es para las entidades estadounidenses y australianas, es algo que no está quedando reflejado a nivel de infecciones.
El troyano bancario está muy elaborado y pensado para que pueda servir para todas las entidades sin la necesidad de invertir mucho tiempo de desarrollo. Cuando este se instala en el dispositivo Android, se ejecuta en segundo plano a la espera de que el usuario haga uso de alguna aplicación perteneciente a alguna entidad bancaria o red social. En ese momento, podría decirse que la aplicación abandona el letargo y superpone su formulario con respecto al de la aplicación original, permitiendo de esta forma que el usuario introduzca los datos en las cajas de texto incorrectas y así proceder a su robo.
Aunque estiman que solo posee un mes de vida, ya existen más de 170 variantes y confirman que su código es capaz de mutar y actualizarse para añadir nuevas funcionalidad, algo por lo que se han mostrado preocupados los expertos en seguridad.
¿Cómo se distribuye esta amenaza?. 
  • Al navegar por determinadas páginas, el usuario recibe notificaciones relacionadas con una actualización de Flash Player para visualizar el contenido de forma correcta. 
  • Al pulsar en estos avisos comienza la descarga de un .apk que a priori debería ser esta nueva versión. Sin embargo, esto no es así, y el usuario lo que en realidad está instalando es el troyano bancario que nos ocupa.
  • Además de todo lo anterior, se sabe que no instala más aplicaciones y que se puede eliminar de forma sencilla haciendo uso de Gestor de Aplicaciones disponible en los dispositivos Android.
Fuente: Softpedia