FedexBanker, un troyano bancario para Android que suplanta la app de Fedex

  • Endpoint

seguridad troyano

El malware se distribuye a través de un mensaje de texto con un enlace a una falsa web de FedEx, que solicita al usuario la descarga de una aplicación con el objetivo de que éste pueda rastrear su paquete. El objetivo de la campaña es robar las credenciales bancarias de sus víctimas.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Creación de aplicaciones seguras: recomendaciones para los servicios financieros Leer

En las últimas semanas se ha detectado FedexBanker, un nuevo troyano para Android que se distribuye como si se tratase una aplicación legítima del servicio de paquetería FedEx. El investigador de seguridad Daniel López fue el primero en dar la voz de alarma sobre una nueva campaña de malware que estaba propagándose a través de mensajes de texto, en los que se proporciona al usuario un enlace a una falsa web de FedEx. La campaña está afectando a usuarios españoles.

La web fraudulenta solicita al usuario la instalación de una aplicación para Android con el objetivo de que éste pueda rastrear su deseado paquete. En realidad lo único que conseguirá la víctima es instalar una aplicación maliciosa, concretamente un troyano bancario cuya finalidad es robar las credenciales bancarias de sus víctimas.

FedexBanker implementa las técnicas habituales utilizadas por los todos los bankers populares para Android. Estas estrategias se basan en el abuso de los permisos de accesibilidad para instalar un servicio de accesibilidad en el sistema infectado, lo que permite al troyano recibir todos aquellos eventos de accesibilidad que se producen cuando el usuario interactúa con la interfaz. De esta forma, el malware puede mostrar una vista web con una página de phishing tan pronto como detecta la apertura de la aplicación bancaria, o directamente registrar los eventos de cambio en los campos de texto de la aplicación. Pudiendo así obtener el usuario y la contraseña que la víctima introduce en los formularios de la aplicación legítima (keylogging).

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos