Este es el nuevo 'malware' que roba todos los datos de tu Android
El nuevo malware se hace pasar por una aplicación de actualización del sistema operativo de Android llamada System Update.
La app, a su vez, debe instalarse desde fuera de la tienda de aplicaciones Google Play. Después de la instalación, se comunica con el servidor Firebase Command and Control (C&C), que le sirve para controlar de forma remota el dispositivo.
Problemas
Una vez que tienen el control del teléfono, los piratas informáticos pueden robar datos, mensajes e imágenes, grabar audios y llamadas telefónicas, tomar fotos, revisar el historial del navegador y acceder a los mensajes de WhatsApp.
Además, la aplicación maliciosa puede rastrear la ubicación del dispositivo, buscar archivos de documentos y capturar datos copiados del portapapeles. El contenido robado, a su vez, se carga en el servidor C&C como un archivo ZIP cifrado.
Luego, para no dejar rastro, el software espía borra los archivos tan pronto como recibe del servidor el aviso conforme ha recibido los archivos.Según los investigadores, el programa se esconde del propietario del dispositivo ocultando su icono del menú.
La app también reduce la cantidad de datos de la red consumidos al cargar al servidor malicioso no las imágenes y vídeos completos -que generalmente pueden pesar bastante-, sino sus miniaturas.
Los expertos señalan que engañar a alguien para que instale una aplicación maliciosa es una forma sencilla y muy eficaz de piratear un dispositivo. Por lo tanto, los sistemas de los dispositivos Android advierten a los usuarios de que no instalen aplicaciones fuera de la tienda oficial de Google. Es la manera más fácil y segura de evitar que te roben los datos.
Se suma a la lista de nuevos malware
En los últimos días se difundió la existencia de Oscorp, un nuevo malware de Android que puede robar las credenciales de nuestras cuentas y tarjetas bancarias. El CERT-AGID, el equipo de Respuestas ante Emergencias Informáticas de Italia, descubrió esta amenaza que se instala en los móviles y es capaz de vigilar todos los movimientos del usuario.
Este código malicioso es capaz de registrar el audio que recibe el micrófono del móvil, así como grabar videos con las cámaras del teléfono. Por este motivo, se trata de un malware muy peligroso.
Luis Corrons, Security Evangelist de Avast, indicó que si tu celular resulta infectado de este malware, lo primero que debes hacer es desinstalar la aplicación maliciosa y cambiar las credenciales de tu banca en línea. Igualmente, es importante asegurarse de comprobar si hay actividad sospechosa en tu cuenta bancaria y, en caso afirmativo, avisar a tus oficinas.
Pueden terminar pesando en la decisión final, por lo que es mejor no descuidarlos. Lógicamente hay que evitar imágenes en situaciones comprometidas en un perfil público, pero también se pueden usar las redes para convertirlas en una ventaja.
Consejos para reforzar la seguridad en tus perfiles de redes sociales
Corrons también destaca que este malware "no se instala solo", es el propio usuario el que tiene que permitirlo. Por lo tanto, si has instalado una aplicación móvil tras hacer clic en un enlace recibido a través de SMS o correo electrónico y se ha desactivado la protección por defecto de Android para evitar la instalación de apps ajenas a la Google Play Store, lo más probable es que tu dispositivo esté infectado, advierte el experto.
En cualquier caso, Corrons recomienda instalar un antivirus de confianza y realizar un análisis del dispositivo para saber si está infectado. Otros consejos para prevenir este tipo de malware en los celulares son:
- Utilizar una herramienta de seguridad que analice todas las aplicaciones que se instalen en el teléfono.
- No instalar nunca ninguna aplicación desde fuera de las tiendas oficiales.
- Ignorar todos los mensajes que pidan instalar una aplicación que descargue directamente el archivo en tu dispositivo.
Advertencia sobre celulares chinos
La empresa de seguridad informática Secure-D informó que detectó y bloqueó transacciones móviles sospechosas, originadas desde teléfonos de gama baja de origen chino que tenían un código informático malicioso ("malware", en inglés) preinstalado.
Según un informe de Secure-D, se habrían registrado 19.2 millones de transacciones sospechosas sin el conocimiento ni autorización de los usuarios de más 200.000 dispositivos.
"Muchas de las solicitudes de transacciones bloqueadas se originan en acciones iniciadas por com.mufc, una aplicación cuya fuente se desconoce y que no se puede descargar de ninguna tienda de aplicaciones de Android", advirtió la empresa.
La compañía detalló que se trataba de los teléfonos de la marca Transsion Tecno W2, un fabricante muy popular en países africanos. Los fraudes afectaron a usuarios de Egipto, Etiopía, Sudáfrica, Camerún y Ghana, pero también hubo transacciones fraudulentas en otros 14 países. Por el momento, no se han reportado intentos de fraude desde América latina.
Según la compañía, los dispositivos venían con el malware Triada preinstalado, que actúa como una puerta trasera de software, permitiendo la descarga de otras aplicaciones maliciosas. Triada permitía la descarga automática de xHelper, que permite realizar fraudes de suscripción por clic.
Secure-D recordó que no es la primera vez que descubre que teléfonos Android de bajo costo se venden con malware publicitario preinstalado. "Los ciberdelincuentes consideran que los dispositivos son más fáciles de comprometer y convertir en vectores de fraude de clics", alertó la compañía.
Como muchos modelos accesibles de teléfonos Android tienen en mente mercados emergentes, los estafadores pueden utilizar estos dispositivos para dirigirse a usuarios que dependen del crédito móvil de prepago para realizar compras a través de sus teléfonos.
Los fraudes publicitario y de clics son problemas recurrentes que afectan al ecosistema de marketing móvil. Para evitar ser víctimas, los usuarios de Android en particular deben verificar el uso de su teléfono en busca de cargos inesperados o de un alto uso de datos, recomendó la firma.
También se espía por la cámara web
Google Play retiró 813 aplicaciones de tipo "creepware", un programa malicioso utilizado para ataques interpersonales que por lo general se meten en la cámara web, a partir de los resultados de una investigación que busca arrojar luz sobre el ecosistema de este tipo de malware.
Las aplicaciones "creepware" son software malicioso diseñado para que un usuario no experto pueda dañar a otras personas, a través de espionaje, acoso, suplantación de identidad, fraude, robo de información o encubrimiento. También incluye a las aplicacones que buscan proteger a las víctimas de este tipo de ataques.
Se trata de un ecosistema de aplicaciones que va más allá del software espía, según señalaron investigadores de NortonLifeLock y de las universidades de Cornell y Nueva York, autores de la investigación.
Estos investigadores desarrollaron un algoritmo, denominado "creeprank", que emplea el "principio de culpable por asociación" para identificar ejemplos de creepware no conocidos.
La colaboración con Norton permitió acceder a una base de datos sobre instalaciones de aplicaciones en más de 50 millones de dispositivos Android, con la que pudieron trabajar en la identificación de nuevos "creepware".
Con ello, descubrieron "una gran variedad de potenciales aplicaciones creepware". De forma manual codificaron mil aplicaciones con las puntuaciones más altas dadas por creeprank, de las cuales 857 podían identificarse como creepware. 372 aplicaciones espía se situaron en lo alto del ranking.
En total, y como recoge el texto del estudio, el ranking identificó más de un millón de instalaciones de distintas aplicaciones de tipo creepware, que incluían de burla (114 aplicaciones), acoso (80 aplicaciones) y los tutoriales de hackeo (63 aplicaciones).
Esta investigación, además, permitió denunciar a Google la presencia de 1.095 aplicaciones de tipo creepware en su tienda digital, de las que eliminó 813 por violación de términos.
Trabajo remoto en el foco de la delincuencia informática
El crecimiento del trabajo desde casa, intensificado por la pandemia del coronavirus, tuvo como consecuencia que aparezcan más ataques, sobre todo a usuarios corporativos. Es decir, empleados que usan computadoras de sus empresas o cumplen funciones laborales desde casa.
Los ciberdelincuentes usan técnicas conocidas y ataques a puntos de entrada comunes para acceder a las redes y dispositivos domésticos de los usuarios. Desde el agotamiento de las contraseñas predeterminadas y la revisión de vulnerabilidades no parcheadas, hasta la búsqueda de puertos y servicios abiertos y la instalación de puertas traseras, estos agentes maliciosos aumentaron notablemente sus despliegues en los últimos cuatro meses.
Los expertos advierten de que el uso de redes y dispositivos domésticos para teletrabajar hace que las empresas sean más vulnerables a los ataques y, para revertir esta situación, explican que hay síntomas reveladores que los empleados no técnicos pueden comprobar para determinar si sus dispositivos han sido hackeados o infectados con malware.
Hay compañías que están instaurando este sistema por primera vez y no son conscientes de los riesgos a los que podrían exponerse si no concientizan a sus empleados ni fortalecen sus sistemas de seguridad informática.
Una vez que notebooks, smartphones o tabletas se llevan fuera de la infraestructura de red de una empresa y se conectan a nuevas redes y Wi-Fi, los riesgos se amplían y aumentan.
Según un estudio desarrollado por la empresa de seguridad informática Kaspersky junto a la consultora de estudios de mercado Corpa, el 25% de los latinoamericanos no cuenta con una computadora portátil destinada únicamente para trabajar.