sábado, 26 de noviembre de 2016

El malware que roba los datos bancarios en Android y bloquea al antivirus

Cuando cada vez están más cerca las compras navideñas, y por tanto se acerca un aumento en el uso de apps bancarias en el móvil, se ha descubierto un nuevo troyando bancario que afecta a dispositivos Android. Se llama Banker.GT y está diseñado para robar nuestras credenciales de acceso a servicios bancarios –entre otros-, pero por el camino es capaz, también, de deshabilitar el antivirus que tengamos instalado en nuestro dispositivo móvil.

La lista de antivirus con los que es capaz de lidiar este troyano bancario no es corta, y entre sus amplias posibilidades están algunas de las soluciones de seguridad informática más populares para dispositivos Android. Podéis ver la lista de antivirus en RedesZone, pero a modo de resumen os adelantamos que puede con AVG, BitDefender, Qihoo y Symantec entre muchas otras. El malware en cuestión se ha podido detectar que se distribuye a través de una aplicación oculta que se instala, como es frecuente, asociada a otra aplicación descargada desde fuentes no fiables.

Parece un cliente de correo electrónico, pero en realidad es un troyano bancario que invalida el antivirus y roba nuestras credenciales.

Así funciona Banker.GT
Asociado a otra aplicación –con apariencia fiable-, la app se instala solicitando permisos innecesarios, pero elevados, que son los que le permiten controlar otras aplicaciones. Aquí es donde se lleva a cabo la desactivación del antivirus, luego se consigue que el troyano pueda llevar a cabo cualquier función maliciosa sin que salte alerta alguna por parte de las soluciones de seguridad informática. Y su funcionamiento se basa, de cara al usuario, en un servicio de correo electrónico ficticio que aparece como aplicación ‘Email’, con un icono sobre fondo blanco.

El troyano se encarga de conectar con un servidor que envía las instrucciones de forma remota para la recopilación de información de los usuarios afectados. Sencillamente se intercambian los datos robados y, habiendo asignado antes un identificador para cada víctima, se organizan para asociarlos a otra información recopilada del mismo. La cuestión es que esta app, ‘Email’, aparece únicamente de forma temporal y cuando se ha completado la instalación del troyano desaparece el icono para no levantar sospecha del usuario. Por lo tanto, lo importante para los usuarios es, como siempre, evitar instalar apps de fuentes no fiables, es decir, fuera de las tiendas oficiales de aplicaciones como la Google Play Store.



Publicar un comentario en la entrada