Criptomonedas, bancos y servicios públicos: seis nuevos troyanos ya atacan a usuarios de Android
Por qué fiarse ciegamente de lo que muestra tu pantalla ya es peligroso.
Varias nuevas familias de malware para Android han salido a la caza del dinero de los usuarios, de las aplicaciones bancarias y de las carteras de criptomonedas. Los investigadores en seguridad registraron tanto troyanos bancarios clásicos como herramientas de acceso remoto más versátiles, que permiten no solo robar datos, sino también interceptar operaciones financieras casi en tiempo real.
La mayor atención se centró en PixRevolution, dirigido al sistema de pagos brasileño Pix. Según Zimperium, el programa se hace pasar por páginas de Google Play con aplicaciones de Expedia, Sicredi y Correios; tras la instalación solicita acceso a funciones especiales de Android y comienza a vigilar la pantalla del dispositivo.
Cuando el usuario introduce el importe y la clave del destinatario para una transferencia por Pix, el malware sustituye los datos por los de los atacantes. Para ocultarlo, sobre la interfaz aparece una ventana falsa con el mensaje «Espere...», y al acabar la operación la víctima ve la confirmación habitual de la transferencia. Azim Yasvant de Zimperium señala que este esquema se diferencia de los troyanos bancarios habituales por la participación de un operador remoto o de un agente automatizado que espera el momento adecuado e interviene durante la transacción.
En Brasil también se detectó la campaña BeatBanker. Según Kaspersky Lab, el malware se distribuye a través de sitios de phishing disfrazados de Google Play y combina un módulo bancario con un minero de criptomonedas. Para mantener la actividad, el programa usa una técnica inusual: una grabación de audio casi imperceptible que se reproduce en bucle.
BeatBanker puede sustituir las direcciones de destinatario en transferencias de USDT a través de Binance y Trust Wallet, vigila navegadores y recibe comandos mediante Firebase Cloud Messaging. En versiones nuevas, en lugar del módulo bancario con más frecuencia se descarga BTMOB RAT, que relacionan con la evolución de las familias CraxsRAT, CypherRAT y SpySolr, atribuibles anteriormente a un actor sirio del subsuelo conocido como EVLF.
Otra amenaza detectada, TaxiSpy RAT, apunta a usuarios de aplicaciones bancarias, gubernamentales y de criptomonedas rusas. Según CYFIRMA y Zimperium, el malware recopila SMS, contactos, registros de llamadas, contenido del portapapeles, PIN de bloqueo y pulsaciones de teclas, y muestra ventanas falsas sobre aplicaciones legítimas para robar credenciales. Entre los métodos para ocultar el análisis destacan el cifrado de bibliotecas nativas, el ofuscamiento de cadenas y el control remoto por WebSocket.
Paralelamente, en mercados clandestinos y en Telegram se venden nuevos servicios para Android bajo el modelo «malware como servicio». Mirax ofrecen un kit cerrado para ataques bancarios, Oblivion —una herramienta con eludir automático de la concesión de permisos en los teléfonos Xiaomi, Samsung, OPPO, Honor y OnePlus—, y SURXRAT se promociona como una versión mejorada de Arsink.
Algunas muestras de SURXRAT ya incorporan un módulo con un gran modelo de lenguaje, y ciertas versiones pueden bloquear la pantalla al estilo de un ransomware. Los analistas de Cyble consideran que los autores de malware para Android combinan cada vez más las herramientas clásicas de vigilancia con componentes de IA para desarrollar su arsenal con mayor rapidez y eludir las defensas.