News

Una “linterna” en Google Play llevaba en sí un programa malicioso

Una aplicación que contiene una modificación del malware extorsionista Charger se filtró en Google Play y fue descargada por lo menos cinco mil veces.

En enero de este año se había descubierto la versión anterior de Charger. El malware extorsionista, que exigía un rescate de 0,2 bitcoins por la recuperación de datos, venía escondido en Energy Rescue, una utilidad de control de energía de la batería, distribuida a través de Google Play

La nueva versión del malware estaba incluida en la aplicación linterna Flashlight LED Widget, en apariencia legítima. Pero, a diferencia de la versión anterior, su verdadero objetivo no es cobrar un rescate por desbloquear la pantalla.

El Charger renovado funciona en todas las versiones de Android y sabe ocultar su verdadera naturaleza. Muestra pantallas de phishing que imitan funciones de aplicaciones legales, intercepta mensajes de texto y bloquea temporalmente el dispositivo para impedir que se neutralicen sus procesos nocivos.

Al instalarse, el malware pide al usuario derechos de administrador y permiso para superponer su ventana a la de otras aplicaciones (en la versión de Android 6.0 y superiores).

La nueva versión, que lleva el nombre clave Charger.B, utiliza Firebase Cloud Messages (FCM) para conectarse al servidor de administración. El malware envía al servidor una fotografía del usuario hecha con la cámara frontal. Según los expertos, la nueva versión de Charger no tiene una lista fija de aplicaciones bancarias para atacar.

A partir de la lista de las aplicaciones instaladas en el dispositivo infectado, el servidor de administración finge la actividad correspondiente y envía al dispositivo un código HTML malicioso, que se ejecuta mediante WebView al iniciarse la aplicación atacada. Al usuario se le muestra una pantalla falsa que pide los datos de la tarjeta de crédito o los datos de acceso a la cuenta de banca en línea.

Los expertos encontraron casos de ataques a los clientes de Commbank, NAB y Westpac Mobile Banking, así como a los usuarios de Facebook, WhatsApp, Instagram y Google Play. La gran flexibilidad del malware le permite adaptar el ataque a cualquier aplicación.

El bloqueo del smartphone sirve de maniobra evasiva para distraer a la víctima mientras los delincuentes vacían su cuenta bancaria. Los usuarios ven una pantalla falsa que les informa que el dispositivo se está actualizando, y que no se lo puede utilizar en ese momento.

Charger.B fue descubierto por los analistas de ESET, que notificaron Google y consiguieron que eliminara sin demora la aplicación de la tienda.

Fuentes: Threatpost

Una “linterna” en Google Play llevaba en sí un programa malicioso

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada