El troyano que regresa escondido a Google Play

¿Recuerdas el dañino troyano bancario para Android detectado en diciembre de 2016? Ha regresado, y de forma muy sigilosa.

El troyano mejor conocido como BankBot ha estado evolucionando desde que fue detectado, y ya se ha presentado en distintas variantes en la tienda oficial de Android, Google Play, como en otras tiendas de cierta relevancia. Esta nueva versión fue identificada el 4 de septiembre y es altamente sofisticada, ya que combina los avances de BankBot con una nueva funcionalidad para descargar el payload y un mecanismo infeccioso que se aprovecha de la accesibilidad que ofrece Android.

Este paquete completo pudo filtrarse en la tienda oficial de Android a través de un juego llamado Jewels Star Classic, tomando el nombre de una popular saga de juegos para dispositivos móviles, y del cual sus fabricantes han dejado claro que no tienen absolutamente nada que ver con esta campaña maliciosa.

Una vez descargado e instalado el juego, al usuario otorgar los permisos que solicita Google Play, la pantalla indica que hay una actualización de Google Play (que por supuesto es falsa), y en segundo plano está haciendo la instalación del troyano. En ese instante el BankBot está aprovechando de:

• Habilitar la instalación de aplicaciones de fuentes desconocidas
• Instalar BankBot desde sus recursos y lo ejecuta
• Activar el administrador del dispositivo para BankBot
• Establecer BankBot como aplicación de SMS por defecto (para “trampear” la posibilidad de la autenticación bancaria).
• Obtener el permiso para sobreescribir otras apps

Una vez hecho esto, el malware comienza a trabajar en lo que será la captura de los datos de los medios de pago de la víctima, falsificando el formulario de datos de Google Play, que todo usuario Android tiene instalada.

¿Por qué se considera tan peligroso este troyano?

En esta oportunidad los ciberdelincuentes usaron y comprobaron nuevas técnicas para penetrar los servicios de Android, haciéndose pasar por Google, cumpliendo una serie de pasos que difícilmente harían sospechar al usuario que algo está pasando, e incluso, una vez que el usuario se percata y el sistema también, ya ha pasado tiempo, y se complica eliminarlo porque en cada paso que dio el malware para su instalación, tenía un nombre distinto.

¿Cómo desinfectar un dispositivo de este tipo de malware?

• Si frecuentemente descargas apps de Google Play y otras tiendas, verifica la existencia de las siguientes “descargas” :
• Una app llamada Google Update (está en Ajustes-Aplicaciones-Administrador de aplicaciones-Google Update).
• Un Administrador de Dispositivo activo llamado “System Update” (está en Ajustes-Pantalla de Bloqueo y Seguridad-Otros ajustes de Seguridad-Administradores de Dispositivos).
• Si aparece repetidamente el alerta de “Google Service”.

¿Cómo mantenerte protegido?

• Descargar aplicaciones solo de la tienda oficial, aunque no sea blindada al 100% al menos emplea mecanismos y políticas de seguridad que hacen menos probable que incluyan estos malware en las apps.
• Si tienes duda de instalar una app, revisa el número de descargas, las calificaciones, comentarios, googlea quien es su fabricante.
• Cuando descargas las apps revisa los permisos de accesibilidad, léelos detenidamente y autorízalos solo si consideras que no ponen en peligro la seguridad de tu dispositivo.
• Disponer de una solución de seguridad que cubra tu dispositivo móvil.