App maliciosa de Play Store distribuye troyano bancario
noviembre 14, 2022Recientemente, un equipo de seguridad descubrió el troyano bancario Xenomorph incrustado en dos aplicaciones en Google Play Store que aparentan ser legítimas. De acuerdo a la investigación de Zscaler ThreatLabz, las dos aplicaciones maliciosas son ”Todo: Day manager”, la cual es simula ser una app enfocada al estilo de vida, y ”Expense Keeper”. Ambas aplicaciones […]
Recientemente, un equipo de seguridad descubrió el troyano bancario Xenomorph incrustado en dos aplicaciones en Google Play Store que aparentan ser legítimas.
De acuerdo a la investigación de Zscaler ThreatLabz, las dos aplicaciones maliciosas son ”Todo: Day manager”, la cual es simula ser una app enfocada al estilo de vida, y ”Expense Keeper”. Ambas aplicaciones funcionan como cuentagotas.
Todo tiene más de 1.000 descargas. Cuando se abre por primera vez, se comunica con un servidor de Firebase para obtener la URL de carga útil del malware y descarga muestras de Xenomorph, alojadas en Github.
Posteriormente, el troyano llega a los servidores C2 descodificados a través del contenido de la página de Telegram o de una rutina de código estático para solicitar más comandos, extendiendo la infección.
La aplicación Expense Keeper exhibe un comportamiento similar a Todo, sin embargo, su parámetro de descarga no está habilitado. Por lo tanto, no fue posible que la aplicación recuperara la URL del cuentagotas para la carga útil al momento de la ejecución.
Capacidades de Xenomorfo
Detectado por primera vez en febrero, Xenomorph es conocido por abusar de los permisos de accesibilidad de Android para realizar ataques de superposición.
Solicita a los usuarios que habiliten el permiso de acceso y se agrega a sí mismo como administrador del dispositivo y evita que los usuarios deshabiliten el Administrador del dispositivo, lo que lo hace desinstalable del dispositivo.
Crea una superposición con pantallas de inicio de sesión falsas sobre aplicaciones bancarias legítimas para engañar a los usuarios para que ingresen sus credenciales.
Roba credenciales de aplicaciones bancarias en los dispositivos de los usuarios.
Además, es capaz de interceptar los mensajes SMS y las notificaciones, lo que le permite robar contraseñas de un solo uso y solicitudes de verificación de MFA.
*Google recientemente ha eliminado estas aplicaciones de cuentagotas maliciosas de Play Store.
Artículos relacionados
Ataques a la cadena de suministro: Una amenaza en alza que afecta a distintos tipos de organizaciones
11 de noviembre de 2022Las nuevas formas de gestión de los negocios, impulsadas por los cambios globales, transformaron las infraestructuras del trabajo, creando nuevos -y positivos- flujos en la cadena de suministros, pero con un importante costo en la ciberseguridad.
El ransomware Venus apunta a los centros de atención médica
15 de noviembre de 2022El ransomware Venus ha estado apuntando a organizaciones de atención médica en Estados Unidos y expandiéndose, esto según una nota de analista emitida por el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) del Departamento de Salud y Servicios Humanos de dicho país (HHS).
