Versión troyanizada de la benigna “Good Weather” logró
evadir los mecanismos de seguridad de Google y apareció en la tienda móvil
Google Play el 4 de febrero.
Investigadores del laboratorio de ESET han descubierto un
nuevo malware bancario con capacidades de bloqueo de pantalla, escondido en una
aplicación de pronóstico del tiempo que simulaba a la benigna “Good Weather”.
Su versión troyanizada podía descargarse desde Google Play y creaba botnets en
los usuarios afectados. Este malware es detectado por ESET como
Trojan.Android/Spy.Banker.HU
La app falsa logró evadir los mecanismos de seguridad de
Google y apareció en la tienda móvil el 4 de febrero. Tras ser reportada por
ESET dos días después, fue eliminada, aunque durante su corta vida llegó a los
dispositivos de 5.000 usuarios. Además de las funcionalidades de pronóstico
climático que adoptó de la versión legítima, la versión troyanizada era capaz
de robar las credenciales para el acceso a banca online, bloquear y desbloquear
los dispositivos infectados remotamente e interceptar mensajes de texto.
“Una vez instalada la app y concedidos los derechos de
administrador, el malware empezaba a trabajar, compartiendo información del
dispositivo con su servidor de C&C. Dependiendo del comando que éste le
devolviera, podía interceptar mensajes de texto recibidos y enviarlos al
servidor, bloquear y desbloquear remotamente el dispositivo estableciendo una
contraseña de su elección y recolectar credenciales bancarias”, explican los
investigadores de ESET
La investigación completa de los analistas de ESET revela
que los troyanos bancarios eran versiones modificadas de un código fuente
disponible en foros rusos de Internet desde diciembre de 2016, a pesar de que
aparentaban ser totalmente nuevos, por lo que se prevé que proliferen nuevos
ataques similares.
“Además de que el código malicioso estaba disponible para
prácticamente cualquier interesado, el propio servidor también estaba accesible
para cualquiera que conociera la URL, sin necesidad de conseguir credenciales”,
afirma Lukas Stefanko, investigador de ESET. “Existen herramientas para crear
malware para Android que son muy fáciles de conseguir, por lo que los usuarios
de esta plataforma deberían aumentar su protección”, advierte.
El 23 de febrero la botnet fue desactivada a raíz de la
información aportada por ESET. El análisis del servidor reveló que la botnet
contenía hasta 2.810 víctimas de 48 países. Dado que la versión troyanizada de
la app ya fue eliminada de la tienda, es seguro descargar Good Weather tal y
como la entregó a Google Play el desarrollador AsdTm.
Para los usuarios infectados, desde el Laboratorio de
ESET recomiendan limpiar sus dispositivos recurriendo a una solución de
seguridad como ESET Mobile Security o eliminar el malware manualmente. Para
desinstalar el troyano, primero es necesario desactivar sus derechos de
administrador desde Ajustes →
Seguridad → System update. Una
vez realizado este paso, se puede desinstalar la app maliciosa en Ajustes → Administrador de
Aplicaciones → Good Weather.
Recomendación
Los expertos de seguridad de ESET recomiendan prevenir la
infección en nuestros dispositivos siguiendo estos consejos:
- Descargar las apps y actualizaciones únicamente desde fuentes de confianza.
- Prestar atención a los permisos que solicitan las aplicaciones que se van a instalar.
- Utilizar una solución de seguridad de confianza.