Portada » Home » Salen a luz cuatro troyanos bancarios disponibles en Play Store

Salen a luz cuatro troyanos bancarios disponibles en Play Store

Los investigadores de ThreatFabric descubrieron cuatro troyanos bancarios de Android que se propagaron a través de la tienda oficial de Google Play entre agosto y noviembre de este año.

Según los expertos, el malware infectó más de 300.000 dispositivos a través de múltiples aplicaciones de cuentagotas.

Los actores de amenazas están perfeccionando sus técnicas para evitar los controles de seguridad implementados por Google para la aplicación en su Play Store.

Un truco para evitar las comprobaciones consiste en introducir pequeñas actualizaciones de códigos maliciosos cuidadosamente planificadas durante un período más largo en Google Play.

Otra técnica utilizada consiste en diseñar sitios web de comando y control (C2) similares que coincidan con el tema de la aplicación de cuentagotas para pasar por alto los métodos de detección convencionales.

“Para hacerse aún más difíciles de detectar, los actores detrás de estas aplicaciones de cuentagotas solo activan manualmente la instalación del troyano bancario en un dispositivo infectado en caso de que deseen más víctimas en una región específica del mundo. Esto hace que la detección automatizada sea una estrategia mucho más difícil de adoptar por cualquier organización «. lee el análisis publicado por los expertos. «VirusTotal no muestra la evolución de las detecciones de productos antivirus a lo largo del tiempo, pero casi todas las campañas tienen o tuvieron una puntuación FUD de 0/62 en VirusTotal en algún momento, lo que confirma la dificultad de detectar aplicaciones de cuentagotas con una huella mínima».

Los goteros se diseñaron para distribuir el troyano bancario Android Anatsa, Alien, ERMAC e Hydra.

A continuación se muestra la lista de aplicaciones de cuentagotas utilizadas para distribuir el troyano bancario anterior:

Autenticador de dos factores (com.flowdivison)
Protection Guard (com.protectionguard.app)
QR CreatorScanner (com.ready.qrscanner.mix)
Master Scanner Live (com.multifuction.combine.qr)
QR Scanner 2021 (com.qr.code.generate)
Escáner QR (com.qr.barqr.scangen)
Documento PDF (com.xaviermuches.docscannerpro2)
Escáner – Escanear a PDF
Escáner de documentos PDF (com.docscanverifier.mobile)
Escáner de documentos PDF gratuito (com.doscanner.mobile)
CryptoTracker (cryptolistapp.app.com.cryptotracker)
Gimnasio y entrenador físico (com.gym.trainer.jeux)

Los investigadores de ThreatFabric detectaron múltiples muestras lanzadas por el actor de amenazas Brunhilda. En un caso, los investigadores observaron a Brunhilda haciéndose pasar por una aplicación creadora de códigos QR utilizada para lanzar el malware Hydra y Ermac en el Los dispositivos de los usuarios eran países que antes no se habían aprovechado, como Estados Unidos.

«En el lapso de solo 4 meses, 4 familias grandes de Android se propagaron a través de Google Play, lo que resultó en más de 300.000 infecciones a través de múltiples aplicaciones de cuentagotas». concluye el informe. “Una tendencia notable en las nuevas campañas de cuentagotas es que los actores se están enfocando en los cargadores con una huella maliciosa reducida en Google Play, lo que aumenta considerablemente las dificultades para detectarlos con técnicas de automatización y aprendizaje automático.