En esta ocasión los
ciberdelincuentes se han valido de una actualización falsa a Android
Marshmallow para instalar malware en los terminales y tabletas. La amenaza se
está distribuyendo haciendo uso de anuncios que se muestran en páginas web
legítimas.
Android/Dmisk, que así es como lo han identificado, se detectó por primera vez a mediados del pasado mes, aunque tras varias investigaciones han determinado que la campaña se remonta a mediados del mes de enero pero haciendo uso de otro tipo de amenazas, en casi todas las ocasiones adware y algún que otro troyano, afectando a usuarios con sistemas operativos Windows. Sin embargo, las tornas han cambiado y ahora los ciberdelincuentes han tomado la decisión de centrarse en los dispositivos móviles.Funcionamiento del ataque
- Cuando los usuarios acceden al contenido a través de estos anuncios, se produce la descarga del archivo Android_Update_6.apk, pareciendo a simple vista una actualización que se distribuye a través de servicios de anuncios, por lo que es probable que los ciberdelincuentes se hayan valido de alguna vulnerabilidad en estos para utilizarlos como herramienta de difusión. Como consecuencia, sitios web legítimos han distribuido malware desde hace varios meses y en las últimas semanas este troyano para Android.
- Ejecutar este archivo provoca la instalación de la aplicación Android Update 6, simulando una actualización a la última versión del sistema operativo de Google.
De Android
Marshmallow a un troyano bancario
- La amenaza trata de recopilar información sobre aplicaciones bancarias, sobre todo de credenciales de acceso y códigos de confirmación gracias a un especie de keylogger que almacena las pulsaciones sobre la pantalla. Además de esto, se mantiene a la escucha de lo mensajes de texto entrantes, medio de confirmación de operaciones de muchas entidades bancarias. Los expertos en seguridad también han observado que de forma periódica la amenaza envía la información recopilada a un servidor remoto.
- Como último apunte, la amenaza está destinada a afectar sobre todo a usuarios europeos, y afirman que en las próximas semanas es probable que la campaña se intensifique.
