Estas apps Android sobre el coronavirus esconden troyanos bancarios

  • Actualidad

Eset ha alertado sobre varias apps maliciosas para Android que emplean como cebo el coronavirus y que esconden variantes de troyanos bancarios. Según la firma de seguridad, "apuntan a usuarios españoles".

 

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

Los especialistas en seguridad llevan semanas informando de que la situación de crisis sanitaria actual se ha convertido en un excelente caldo de cultivo para aquellos que buscan aprovecharse de la pandemia global, provocada por el coronavirus.

Los ciberdelincuentes actúan de muy diferentes formas y una de ellas son las apps móviles. Eset ha puesto nombres y apellidos a dos apps maliciosas que operan en entorno Android y que, en realidad, esconden troyanos bancarios. Son Mapa del coronavirus y Coronavirus Finder.

Josep Albors, su responsable de concienciación e investigación, recomienda “no descargar apps desde fuentes no oficiales y desactivar la opción de instalarlas en el caso de que no la tengamos ya activada. Asimismo, si procedemos a instalar cualquier aplicación y esta nos solicita permisos de accesibilidad debemos sospechar, ya que solo algunas aplicaciones concretas como los antivirus deberían poder tener estos permisos para proteger mejor nuestro sistema”.

Mapa del coronavirus
El primero de los casos que vamos a analizar es el de una aplicación fraudulenta para dispositivos Android descubierta por nuestros compañeros del laboratorio de ESET que se está centrando en usuarios españoles. Estamos ante un supuesto mapa de seguimiento de la propagación del coronavirus, información que muchos usuarios podrían estar interesados en tener.

Esta aplicación no se está distribuyendo a través de la tienda oficial de aplicaciones Google Play, por mucho que en la imagen aparezca el logo. Los delincuentes han preparado dominios específicos a los que dirigir a los usuarios para descargar el instalador, primer signo de alerta que deberíamos tener en cuenta.

En el caso de que un usuario descargue esta aplicación en su móvil y decida instalarla (aun saltándose la restricción de no instalar apps desde fuentes desconocidas que Android incorpora por defecto), esta le solicitará varios permisos entre los que se encuentran los de Accesibilidad. Estos permisos le otorgan al atacante la posibilidad de obtener información de las acciones que la víctima realiza en su dispositivo para usarla de forma maliciosa. El atacante también puede otorgarse nuevos permisos sin necesidad de interacción por parte de la víctima, como los necesarios para enviar y recibir mensajes SMS o llamadas.

En este caso estamos ante una variante del troyano bancario Cerberus, que apareció inicialmente a mediados de 2019 y que suele ofrecerse como malware con una infraestructura ya montada a todos aquellos delincuentes que quieran propagar sus amenazas pero no quieran invertir recursos en elaborarla desde cero. Entre sus capacidades destacan algunas características comunes a varios troyanos bancarios para Android actuales, como la posibilidad de sobreponer pantallas fraudulentas, robar información de contactos o el control de los SMS para identificar y utilizar los códigos de verificación de un solo uso que muchas entidades bancarias envían a sus usuarios cuando estos realizan alguna transferencia.

Coronavirus Finder
Una amenaza similar y que también está siendo utilizada por los delincuentes para infectar dispositivos Android es la que el troyano bancario Ginp está realizando mediante una app que se autodenomina “Coronavirus Finder”. Según los investigadores de Kaspersky que la han analizado, muchas de las víctimas de este malware se encuentran localizadas en España.

Esta aplicación también se presenta como capaz de detectar a aquellas personas infectadas que se encuentren cerca de nuestra ubicación. A diferencia de la anterior, esta aplicación maliciosa abre una sencilla página web en el navegador del dispositivo que muestra supuestamente la cantidad de personas infectadas a nuestro alrededor y nos ofrece la posibilidad de conocer su ubicación exacta si pagamos una pequeña cantidad de dinero (0,75€).

Para realizar este pago se nos traslada a otra web donde se nos invita a introducir los datos de nuestra tarjeta de crédito, algo que no debemos hacer bajo ninguna circunstancia. En caso de proporcionar los datos, estos van directamente hacia los criminales, mientras que el usuario se queda esperando que suceda algo en la aplicación que nunca pasará. El cargo de 0,75€ no se realiza (ya que los delincuentes pueden robar mucho más gracias a los datos de la tarjeta proporcionados) y, por supuesto, no se muestra información de ninguna persona infectada a nuestro alrededor.