10 de los troyanos bancarios móviles más prolíficos han puesto sus ojos en 639 aplicaciones financieras que están disponibles en Google Play Store y se han descargado acumulativamente más de 1010 millones de veces. Algunas de las aplicaciones más específicas incluyen PhonePe respaldado por Walmart, Binance, Cash App, Garanti BBVA Mobile, La Banque Postale, Ma Banque, Caf – Mon Compte, Postepay y BBVA México. Solo estas aplicaciones representan más de 260 millones de descargas del mercado oficial de aplicaciones.
Troyanos Bancarios Móviles
De las 639 aplicaciones rastreadas, 121 tienen su sede en los EE. UU., seguidas por el Reino Unido (55), Italia (43), Turquía (34), Australia (33), Francia (31), España (29) y Portugal (27).
TeaBot es un troyano bancario para Android diseñado para robar credenciales y mensajes SMS, se ha observado una vez más eludiendo las protecciones de Google Play Store para apuntar a usuarios de más de 400 aplicaciones bancarias y financieras, incluidas las de Rusia, China y EE. UU. TeaBot apunta a 410 de las 639 aplicaciones rastreadas», dijo la empresa de seguridad móvil Zimperium en un nuevo análisis de las amenazas de Android durante la primera mitad de 2022.
Octo también es un troyano bancario que logra el control remoto, pudiendo realizar fraudes. Este tipo de ataques los realiza ya que puede capturar la pantalla en tiempo real, registrar las pulsaciones del teclado, evadir motores antivirus, obtener credenciales bancarias, etc. Octo apunta a 324 de las 639 aplicaciones rastreadas y es la única que apunta a aplicaciones populares no financieras para el robo de credenciales.
Además de TeaBot (Anatsa) y Octo (Exobot), otros troyanos bancarios destacados incluyen BianLian, Coper, EventBot, FluBot (Cabassous), Medusa, SharkBot y Xenomorph.
También se considera que FluBot es una variante agresiva de Cabassous, por no hablar de enganchar su vagón de distribución para servir a Medusa, otro troyano bancario móvil que puede obtener un control casi completo sobre el dispositivo de un usuario.
Aplicaciones no autorizadas
Las aplicaciones no autorizadas están equipadas con la capacidad de evadir la detección ocultando a menudo sus íconos de la pantalla de inicio y se sabe que registran pulsaciones de teclas, capturan datos del portapapeles y abusan de los permisos de los servicios de accesibilidad para perseguir sus objetivos, como el robo de credenciales.
Las consecuencias de tales ataques pueden variar desde el robo de datos y el fraude financiero hasta las multas reglamentarias y la pérdida de la confianza del cliente.
Indicadores de Compromiso (IOCs)
- Aplicación Conversor de divisas activa: C30ebf9fc47e6e12f4467e32bf1b3c055f99659c8c0395df4b3e7107591eb5fa
- IP 23[.]106[.]124[.]183
- D89E08DB5AF347BE72F1307186638AAA062A8DE45A808F57DCE85BC83C94059E
- goldegrillz[.]top
Recomendaciones
Para protegerse de los troyanos bancarios móviles, los investigadores recomiendan:
- Confirmar que la aplicación que se está utilizando es una aplicación bancaria verificada. Si la interfaz parece desconocida o extraña, verificar con el equipo de atención al cliente del banco.
- Usar la autenticación de dos factores si el banco lo ofrece como una opción.
- Antes de descargar una nueva aplicación, se debe verificar las calificaciones de sus usuarios. Si otros usuarios se quejan de una mala experiencia de usuario, podría ser una aplicación a evitar.
- Solo confiar en tiendas de aplicaciones confiables, como Google Play o App Store de Apple. Aunque el malware se deslizó en Google Play, su carga útil se descargó de una fuente externa. Si se desactiva la opción de descargar aplicaciones de otras fuentes, estarás a salvo de este tipo de troyano bancario que se activa en tu teléfono.
- Activar las notificaciones de SMS para la banca móvil. No todos los troyanos bancarios secuestran los SMS y, en general, es una manera muy efectiva de controlar la cuenta.
Para mas información