Alien, un troyano bancario capaz de robar las credenciales de más de 200 apps
- Endpoint
El malware, que se anunció por primera vez para su alquiler en foros clandestinos en enero, se ha utilizado para atacar activamente a instituciones de todo el mundo, incluida España. Los investigadores creen que Alien es una "bifurcación" del troyano bancario Cerberus.
|
Recomendados: La persistencia del ransomware Webinar El dato: piedra angular de una experiencia customer-centric Webinar Protección avanzada de datos y continuidad de negocio con Nutanix y Veeam Webinar |
Un troyano bancario recién descubierto llamado Alien está invadiendo dispositivos Android en todo el mundo, utilizando una capacidad avanzada para eludir las medidas de seguridad de autenticación de dos factores (2FA) para robar las credenciales de las víctimas. Una vez que ha infectado un dispositivo, la RAT tiene como objetivo robar contraseñas de al menos 226 aplicaciones móviles, incluidas aplicaciones bancarias como Bank of America Mobile Banking y Capital One Mobile, así como una gran cantidad de aplicaciones sociales y de colaboración como Snapchat, Telegram y Microsoft Outlook.
Alien abusa de la función "android.permission.BIND_NOTIFICATION_LISTENER_SERVICE" para obtener el contenido de las notificaciones de la barra de estado en el dispositivo infectado. Si bien normalmente el usuario necesitaría otorgar este permiso manualmente en la configuración, el malware elude este obstáculo al usar los privilegios de accesibilidad en los dispositivos Android, realizando todas las interacciones necesarias del usuario por sí mismo.
Para ello, utiliza una función avanzada de acceso remoto que abusa de la aplicación TeamViewer, lo que le da al malhechor detrás del malware el control remoto de los dispositivos de la víctima. “Cuando TeamViewer se activa con éxito, proporciona a los actores un control remoto completo de la interfaz de usuario del dispositivo, lo que les permite acceder y cambiar la configuración del dispositivo, instalar y eliminar aplicaciones, pero también utilizar cualquier aplicación instalada en el dispositivo (aplicaciones bancarias, mensajería y redes sociales)”, apuntan los investigadores. “Al monitorizar el dispositivo en tiempo real, los actores también pueden obtener información valiosa sobre el comportamiento del usuario”.
Los investigadores creen que Alien es una "bifurcación" del troyano bancario Cerberus. No está claro cómo se propaga inicialmente, pero dado que el malware se alquila, se pueden usar muchas tácticas de vector de ataque inicial diferentes, incluido el spear-phishing, la distribución a través de aplicaciones de terceros y más. El malware, que se anunció por primera vez para su alquiler en foros clandestinos en enero, se ha utilizado para atacar activamente a instituciones de todo el mundo, incluida España.
