Troyano bancario GoldDigger

Los expertos de Infosec han descubierto un troyano bancario para Android llamado GoldDigger y lo han identificado como una amenaza dirigida a numerosas aplicaciones financieras. Sus objetivos principales incluyen tomar los fondos de las víctimas y establecer un acceso de puerta trasera a los dispositivos comprometidos.

GoldDigger centra específicamente sus ataques en más de 50 aplicaciones bancarias, billeteras electrónicas y aplicaciones de billeteras de criptomonedas vietnamitas. Es preocupante que haya indicios de que este software amenazador podría estar preparándose para expandir sus operaciones más allá de Vietnam, afectando potencialmente a una gama más amplia de países en la región Asia-Pacífico (APAC) y aquellos donde se habla español.

Los investigadores de ciberseguridad detectaron GoldDigger por primera vez en agosto de 2023, aunque la evidencia sugiere que puede haber estado operativo desde junio de 2023.

El malware móvil GoldDigger se hace pasar por entidades legítimas para atraer a las víctimas

El alcance exacto de las infecciones sigue siendo incierto, pero las aplicaciones dañinas han sido identificadas por su engañosa suplantación de un portal del gobierno vietnamita y de una empresa energética. Aprovechan este disfraz para solicitar permisos intrusivos, una estrategia destinada a lograr sus objetivos de recopilación de datos.

Esto implica principalmente el mal uso de los servicios de accesibilidad de Android, originalmente diseñados para ayudar a los usuarios con discapacidades en el uso de aplicaciones. Sin embargo, en este contexto, estos servicios son manipulados para interactuar con aplicaciones específicas y extraer datos personales, robar credenciales de aplicaciones bancarias, interceptar mensajes SMS y ejecutar diversas acciones de los usuarios.

Cuando se otorgan estos permisos al malware, obtiene visibilidad total de las actividades del usuario, lo que le permite acceder a saldos de cuentas bancarias, capturar códigos de autenticación de dos factores (2FA), registrar pulsaciones de teclas y facilitar el acceso remoto al dispositivo.

La cadena de ataque del troyano bancario GoldDigger

Las cadenas de ataque responsables de distribuir GoldDigger emplean sitios web fraudulentos que imitan las páginas de Google Play Store y sitios corporativos falsificados dentro de Vietnam. Esto sugiere que estos enlaces pueden difundirse a víctimas potenciales mediante técnicas tradicionales de phishing o smishing.

Sin embargo, el éxito de esta campaña depende de un factor crítico: la activación de la opción 'Instalar desde fuentes desconocidas'. Este recurso permite la instalación de aplicaciones desde fuentes ajenas a la tienda oficial de aplicaciones. En particular, una de las características destacadas de GoldDigger es la utilización de un mecanismo de protección avanzado.

GoldDigger es uno entre varios troyanos bancarios para Android que han surgido en tan sólo un par de meses. Estas recientes incorporaciones contribuyen aún más a la ya sustancial colección de herramientas inseguras similares en circulación.

Las infecciones por troyanos bancarios pueden tener consecuencias nefastas

Las infecciones por troyanos bancarios pueden tener consecuencias nefastas para las personas, las instituciones financieras e incluso la economía en general debido a su naturaleza maliciosa y el daño potencial que pueden causar. Estas son algunas de las razones por las que estas infecciones son tan preocupantes:

• • Pérdida financiera : el objetivo principal de los troyanos bancarios es recaudar dinero. Una vez instalados en el dispositivo de la víctima, estos troyanos pueden obtener acceso a las cuentas bancarias y financieras en línea de la víctima. Pueden recopilar credenciales de inicio de sesión, números de cuenta y otra información confidencial, que puede usarse para desviar fondos de las cuentas de la víctima. Esto puede causar importantes pérdidas financieras a personas y empresas.

• • Robo de identidad : los troyanos bancarios suelen recopilar información personal y financiera. Los datos recopilados se pueden utilizar para el robo de identidad. Los ciberdelincuentes pueden utilizar esta información recopilada para abrir cuentas fraudulentas, solicitar crédito a nombre de la víctima o participar en otras actividades ilegales, causando daños a largo plazo al crédito y la estabilidad financiera de la víctima.

• • Filtraciones de datos : los troyanos bancarios también pueden comprometer datos corporativos y de clientes confidenciales cuando se dirigen a instituciones financieras. Esto puede dar lugar a violaciones de datos, que pueden tener graves consecuencias para las empresas, incluidos daños a la reputación, multas regulatorias y responsabilidades legales.

• • Interrupción operativa : si una institución financiera es atacada e infectada por un troyano bancario, puede interrumpir sus operaciones. Esto incluye transacciones financieras, servicio al cliente y continuidad comercial general. Estas perturbaciones pueden tener consecuencias de gran alcance y erosionar la confianza de los clientes.

• • Pérdida de confianza del cliente : cuando se manipulan los datos financieros de los clientes, se puede erosionar la confianza en la institución financiera afectada. Los clientes pueden optar por cambiar de banco o de proveedor de servicios financieros, lo que hace que las instituciones financieras pierdan clientes e ingresos.

En resumen, las infecciones por troyanos bancarios representan una seria amenaza debido a su potencial de pérdidas financieras, robo de identidad, filtraciones de datos, interrupciones operativas, consecuencias legales y daños a la confianza de los clientes. Prevenir y mitigar estas amenazas requiere medidas sólidas de ciberseguridad, vigilancia constante y colaboración entre individuos, empresas y organismos encargados de hacer cumplir la ley.