Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware para dispositivos móviles AppLite Banker

Malware para dispositivos móviles AppLite Banker

Por Mezo en Malware móvil, Troyano bancario
Traducir a:
Español

Expertos en ciberseguridad han descubierto un sofisticado esquema de phishing cuyo objetivo es distribuir una variante actualizada del troyano bancario Antidot. Los atacantes, que funcionan como una campaña de phishing (o mishing) móvil, se hacen pasar por reclutadores que ofrecen atractivas oportunidades laborales.

Ofertas de trabajo que ocultan malas intenciones

Los atacantes se hacen pasar por parte de un proceso de reclutamiento legítimo y engañan a las víctimas para que descarguen una aplicación fraudulenta. Esta aplicación amenazante funciona como un cuentagotas que envía la nueva variante de Antidot Banker al dispositivo de la víctima bajo la apariencia de software legítimo.

Presentamos AppLite Banker: una amenaza disfrazada

El malware actualizado, cuyo nombre en código han dado los investigadores de seguridad es AppLite Banker, cuenta con capacidades avanzadas. Puede extraer credenciales de desbloqueo de dispositivos, como PIN, patrones o contraseñas, y tomar el control remoto de los dispositivos infectados. Estas características reflejan tácticas observadas en amenazas similares como TrickMo.

Ingeniería social y esquemas de empleo

Los atacantes emplean tácticas de ingeniería social para atraer a las víctimas con promesas de oportunidades laborales lucrativas. Por ejemplo, una campaña de phishing de septiembre de 2024 se hizo pasar por una empresa canadiense, Teximus Technologies, y afirmó ofrecer puestos de atención al cliente a distancia con salarios por hora atractivos y potencial de crecimiento profesional. Las víctimas que interactúan con estos "reclutadores" son dirigidas a descargar aplicaciones inseguras de sitios de phishing, lo que inicia el proceso de instalación del malware.

Aplicaciones falsas y dominios de phishing

Las aplicaciones dañinas, que se hacen pasar por herramientas de CRM para empleados, se distribuyen a través de una red de dominios engañosos. Estas aplicaciones de descarga automática evaden hábilmente la detección manipulando archivos ZIP y eludiendo las defensas de seguridad. Se les pide a las víctimas que registren una cuenta e instalen una actualización falsa de la aplicación, aparentemente para "mantener su teléfono protegido". La supuesta actualización se envía luego a través de una interfaz falsificada de Google Play Store, completando la distribución del malware.

Aprovechamiento de las funciones de accesibilidad para actividades perjudiciales

Al igual que en las iteraciones anteriores, la aplicación AppLite Banker abusa de los permisos de los Servicios de Accesibilidad de Android. Este acceso le permite superponer pantallas, otorgarse permisos a sí misma y realizar otras actividades dañinas.

Las funcionalidades clave incluyen:

  • Robo de credenciales de cuentas de Google a través de superposiciones de pantalla.
  • Modificar configuraciones del dispositivo, como el brillo de la pantalla y las aplicaciones predeterminadas.
  • Interactuar con pantallas de bloqueo usando PIN, patrones o contraseñas.
  • Prevenir la desinstalación del malware.

    • Control ampliado sobre dispositivos infectados

    La última versión introduce características que aumentan su nivel de amenaza, entre ellas:

    • Bloqueo de llamadas y ocultación de mensajes SMS según las instrucciones del servidor remoto.
    • Ofrece páginas de inicio de sesión falsas para 172 bancos, billeteras de criptomonedas y plataformas de redes sociales como Facebook y Telegram.
    • Habilitación del registro de teclas, robo de SMS, reenvío de llamadas y Computación en red virtual (VNC) para manipular dispositivos de forma remota.

    Un público objetivo global

    La campaña parece estar dirigida a usuarios de varias regiones, especialmente a aquellos que dominan idiomas como inglés, español, ruso, francés, alemán, italiano y portugués.

    La defensa proactiva es clave

    Dada la naturaleza sofisticada y el impacto de largo alcance de esta amenaza, es fundamental implementar medidas de protección sólidas. Los usuarios deben tener cuidado al recibir ofertas de trabajo no solicitadas o solicitudes para instalar aplicaciones externas. Mantenerse alerta y priorizar la seguridad móvil puede ayudar a prevenir posibles pérdidas financieras y de datos.

    Tendencias

    Puerta trasera de GhostSpider

    Amenaza persistente avanzada (APT), Puertas traseras, Software malicioso
    Un sofisticado grupo de ciberespionaje vinculado a China, conocido como Earth Estries, ha estado atacando a entidades gubernamentales y de telecomunicaciones en el sudeste asiático y más allá. El grupo ha empleado una variedad de técnicas avanzadas para infiltrarse en industrias críticas, incluido el uso de una puerta trasera no documentada llamada GhostSpider. También se ha observado que este...

    Mas Visto

    Cargando...