28 de noviembre de 2022

No estás seguro ni en Google Play Store, este nuevo malware puede robar tus datos bancarios

Nuevas prácticas como el Qrishing, aplicaciones con miles de descargas infectadas de malware, nuevos tipos de troyano y apps que se saltan el filtro de seguridad de Google Play. El panorama no pinta demasiado bien.

Ni siquiera descargando las aplicaciones desde la tienda oficial de aplicaciones nos libramos, y es que se ha encontrado un nuevo tipo de malware que afecta, precisamente, a apps instaladas desde Play Store. Te las bajas desde dentro, te infectas desde fuera. Así es el nuevo método para tratar de robar tus datos bancarios.

-Instalas desde dentro, te infectas desde fuera

Una nueva campaña de malware está inyectando troyanos en Android. En concreto, este malware recibe el nombre de SharkBot, y es capaz de robar solicitudes de inicio de sesión mediante la clásica interfaz falsa superpuesta. Este método para obtener las credenciales no es nuevo, pero el método para que los usuarios instalen el malware sí que lo es.

Hasta la fecha, este tipo de malware se inyectaba cuando el usuario accedía a un formulario falso a través de una URL de un mensaje sospechoso o, en cualquier caso, a través de apps descargadas de forma externa.

Este tipo de malware lo tiene muy fácil para colarse en Play Store. Las apps están limpias, el problema viene después

SharkBot se encuentra en aplicaciones que descargamos desde Play Store y, curiosamente, estas apps están completamente limpias. ¿Cómo nos infectamos, entonces? En el momento que instalamos la app desde Play Store, esta nos pide una actualización. Dicha actualización se instala en APK desde fuera de Play Store, con el permiso REQUEST INSTALL PACKAGES. Una vez aceptamos, hemos instalado un APK malicioso que intercepta SMS para los códigos del 2FA (autenticación en dos pasos).

Este malware está enfocado en bancos de España, Alemania, Reino Unido y otros países europeos, y se esconde en todo tipo de aplicaciones. Pero no todo es SharkBot, otro malware bajo el nombre de Vultur acumula ya más de 100.000 descargas en aplicaciones de finanzas, autenticación y demás.

El modus operandi es casi idéntico. Nos descargamos la app desde Play Store, y al instalarla nos pide que instalemos una nueva versión. Este APK procede de un repositorio externo, y está infectado.

Como siempre indicamos, conviene extremar las precauciones cuando instalamos aplicaciones desde fuera de Play Store. Si hemos instalado la app original en la tienda de Google, la actualización debería llegar también desde dicha tienda, nunca desde fuera. Si no sabemos de dónde procede un APK, es preferible quedarnos sin él a correr riesgos adicionales.