Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware para dispositivos móviles DroidBot

Malware para dispositivos móviles DroidBot

Por Mezo en Malware móvil, Troyano bancario
Traducir a:
Español

Una nueva y preocupante amenaza bancaria para Android, conocida como DroidBot, está causando revuelo al atacar plataformas de intercambio de criptomonedas y aplicaciones bancarias en el Reino Unido, Italia, Francia, España y Portugal. DroidBot, descubierto inicialmente por investigadores de ciberseguridad en junio de 2024, opera como una plataforma de malware como servicio (MaaS) que ofrece sus capacidades maliciosas a afiliados por la friolera de 3000 dólares al mes.

A pesar de carecer de características innovadoras, el uso generalizado y la funcionalidad de DroidBot lo convierten en un problema importante. Un análisis de una de sus botnets reveló 776 infecciones únicas en varios países europeos, incluidos Turquía y Alemania. El malware también muestra signos de expansión a nuevas regiones, como América Latina.

Cómo DroidBot MaaS empodera a los cibercriminales

Los desarrolladores de DroidBot, que se cree que tienen su base en Turquía, han creado una plataforma MaaS que reduce las barreras para que los cibercriminales ejecuten ataques sofisticados. Los afiliados obtienen acceso a un conjunto completo de herramientas, que incluyen:

  • Un generador de malware para personalizar cargas útiles para objetivos específicos.
  • Servidores de comando y control (C2) para gestionar operaciones.
  • Un panel de administración central para recuperar datos recopilados y emitir comandos.

Los investigadores han identificado 17 grupos de afiliados que utilizan DroidBot, todos los cuales operan en una infraestructura C2 compartida con identificadores únicos para rastrear actividades. Los afiliados reciben documentación extensa, soporte y actualizaciones periódicas a través de un canal de Telegram, lo que crea un sistema de bajo esfuerzo y alta recompensa para los atacantes.

Sigilo y engaño: los disfraces de DroidBot

Para infiltrarse en los dispositivos de los usuarios, DroidBot suele hacerse pasar por aplicaciones legítimas, como Google Chrome, Google Play Store o incluso los servicios de seguridad de Android. Una vez instalado, funciona como un troyano que recopila información confidencial de las aplicaciones seleccionadas.

Sus características principales permiten a los atacantes ejecutar una variedad de actividades maliciosas, como:

  • Keylogging : captura todas las pulsaciones de teclas ingresadas en el dispositivo infectado.
  • Ataques de superposición : visualización de pantallas de inicio de sesión falsas sobre interfaces de aplicaciones legítimas para recopilar credenciales.
  • Intercepción de SMS : secuestro de mensajes SMS, en particular aquellos que contienen OTP para inicios de sesión bancarios.
  • Control remoto de dispositivos : mediante un módulo de computación en red virtual (VNC), los afiliados pueden ver y controlar de forma remota los dispositivos infectados, ejecutar comandos y ocultar sus acciones oscureciendo la pantalla.

Explotación de servicios de accesibilidad

DroidBot depende en gran medida de los Servicios de Accesibilidad de Android, una función diseñada para ayudar a los usuarios con discapacidades a controlar acciones y deslizamientos o toques simulados. Este uso indebido subraya la importancia de examinar las aplicaciones que solicitan permisos inusuales durante la instalación. Si una aplicación solicita acceso a los Servicios de Accesibilidad sin un propósito claro, los usuarios deben rechazar la solicitud de inmediato y desinstalar la aplicación si es necesario.

Objetivos de alto valor: aplicaciones bancarias y criptográficas

El alcance de DroidBot se extiende a 77 aplicaciones de criptomonedas y banca de alto perfil. Algunos objetivos destacados incluyen:

  • Intercambios de criptomonedas: Binance, KuCoin y Kraken.
  • Aplicaciones bancarias: BBVA, Unicredit, Santander, BNP Paribas y Credit Agricole.
  • Monederos digitales: Metamask.

Estas aplicaciones albergan datos financieros confidenciales, lo que las convierte en objetivos principales de los ciberdelincuentes.

Cómo mantenerse protegido

Para mitigar amenazas como DroidBot se requiere un enfoque proactivo:

  • Utilice fuentes oficiales : descargue aplicaciones únicamente de Google Play Store.
  • Revisar permisos : Esté atento a solicitudes de permisos inusuales, especialmente aquellas que involucran servicios de accesibilidad.
  • Activar Play Protect : asegúrese de que esta función de seguridad esté habilitada en su dispositivo Android.

Al adoptar estas prácticas, los usuarios pueden reducir significativamente su exposición a amenazas como DroidBot y mantener el control sobre sus datos confidenciales. A medida que DroidBot continúa evolucionando y expandiendo su alcance, mantenerse informado y ser cauteloso sigue siendo fundamental para defenderse de sus tácticas engañosas.

Tendencias

Capital One - Estafa por correo electrónico: Su...

Suplantación de identidad (phishing), Correo basura
Internet es una puerta de entrada a oportunidades ilimitadas, pero también presenta riesgos que exigen una vigilancia constante. Los estafadores elaboran esquemas cada vez más sofisticados, a menudo imitando marcas de confianza para engañar a los usuarios desprevenidos. Entre estos esquemas, la estafa por correo electrónico "Capital One - Your Reward Credit Is On The Way" se aprovecha de la...

Estafa por correo electrónico con detalles de...

Suplantación de identidad (phishing), Correo basura
En una era en la que el correo electrónico se ha convertido en una piedra angular de la comunicación moderna, los cibercriminales siguen explotándolo como herramienta de engaño. La estafa por correo electrónico con detalles de pedidos de DHL es una sofisticada campaña de phishing que se aprovecha de la confianza de los usuarios en servicios legítimos como DHL. Comprender las tácticas utilizadas...

Mas Visto

Cargando...