Se ha detectado una versión actualizada del spyware Banker para Android (se abre en una pestaña nueva), que roba los datos bancarios de la víctima y posiblemente incluso dinero en algunos casos.
Según los investigadores de ciberseguridad de Microsoft (se abre en una nueva pestaña), un actor malicioso desconocido ha lanzado una campaña de smishing (phishing por SMS), a través de la cual intenta engañar a las personas para que descarguen TrojanSpy:AndroidOS/Banker.O. Es una variante de malware (se abre en una nueva pestaña) capaz de extraer todo tipo de información confidencial, incluidos códigos de autenticación de dos factores (2FA), credenciales de inicio de sesión de cuenta y contraseñas, además de otra información de identificación personal (PII).
Lo que hace que este ataque sea particularmente preocupante es el sigilo de toda la operación.
Otorgamiento de permisos mayores
Después de que el usuario descargue el malware, debe otorgar algunos permisos, como MainActivity, AutoStartService y RestartBroadCastReceiverAndroid.
Esto le permite interceptar llamadas, acceder a registros de llamadas, mensajes, contactos e incluso información de la red. Al poder hacer estas cosas, el malware también puede recibir y leer códigos de autenticación de dos factores entrantes a través de SMS y eliminarlos para garantizar que la víctima no sospeche nada sospechoso.
Para empeorar las cosas, la aplicación puede comandar en modo silencioso, lo que significa que los códigos 2FA entrantes a través de SMS se pueden recibir, leer y eliminar, en completo silencio: sin sonido de notificación, sin vibración, sin luz de pantalla, nada.
Se desconocen los actores de amenazas detrás de la campaña, pero lo que Microsoft sí sabe es que se puede acceder a la aplicación, vista por primera vez en 2021 y significativamente mejorada desde entonces, de forma remota.
El alcance del ataque también se desconoce, ya que es difícil determinar exactamente cuántas personas se ven afectadas. L'année dernière, Banker a été observé en train d'attaquer uniquement les consommateurs indiens, et étant donné que le SMS de phishing porte le logo de la banque indienne ICICI, il est prudent de supposer que les utilisateurs indiens sont également dans le collimateur esta vez.
"Algunos de los APK maliciosos también usan el mismo logotipo del banco indio que la aplicación falsa que investigamos, lo que podría indicar que los actores están generando constantemente nuevas versiones para continuar con la campaña", dijeron los investigadores.
Через: Реестр (откроется в новой вкладке)