Una nueva variedad de malware troyano para teléfonos Android se dirige a los usuarios globales de las principales aplicaciones de cripto como Coinbase, BitPay y Bitcoin Wallet, así como a bancos como JPMorgan, Wells Fargo y Bank of America. La noticia fue reportada por el canal de noticias de tecnología The Next Web el 28 de marzo.
Basado en investigaciones de la prominente firma de análisis de ciberdelincuencia Group-IB, se informa que esta es la primera vez que el troyano (ahora llamado "Gustuff") ha sido reportado o analizado. El malware se describe como diseñado para infecciones masivas y se propaga a través de mensajes SMS con enlaces para cargar archivos maliciosos del kit de paquetes Android.
Te puede interesar: El malware se dirige a las empresas fintech israelíes que trabajan en el comercio de criptos y en el mercado Forex
Según se informa, los creadores del malware han creado "Sistemas de transferencia automática" que tienen como objetivo agilizar y escalar los robos mediante la activación de rellenos automáticos de los campos de pago para aplicaciones Android legítimas con el fin de redirigir maliciosamente las transferencias a los hackers.
Se pretende que la aplicación emita una gran cantidad de "falsificaciones web" que imitan a las aplicaciones legítimas en el phish de datos confidenciales de los usuarios, específicamente dirigidas a clientes de hasta 32 aplicaciones de cripto diferentes. Las notificaciones push mediante iconos legítimos son otro de los dispositivos que utiliza el malware para automatizar las descargas de aplicaciones falsas y activar la autocompletación de transacciones.
El Grupo IB identificó 27 aplicaciones de cripto y bancarias falsas específicas para los Estados Unidos, 16 para Polonia, 10 para Australia, 9 para Alemania y 9 para la India. El malware también se dirige a sistemas de pago y servicios de mensajería como PayPal, Revolut, Western Union, eBay, Walmart, Skype y WhatsApp.
No dejes de leer: Individuo ucraniano enfrentaría hasta 6 años de cárcel por 'cryptojacking' en sus propios sitios web
Para funcionar, Gustaff explota las características de accesibilidad de Android diseñadas para usuarios discapacitados, y el Grupo IB lo considera un truco relativamente raro y eficaz:
"El uso del mecanismo del Servicio de Accesibilidad significa que el troyano es capaz de eludir los cambios en la política de seguridad de Google introducidos en las nuevas versiones del sistema operativo Android. Además, Gustuff sabe cómo desactivar Google Protect; según el desarrollador del troyano, esta función funciona en el 70 por ciento de los casos".
Según se informa, la primera vez que se rastreó hasta los foros de hackers a partir de abril de 2018, el Grupo IB señala que Gustuff ha sido diseñado por un delincuente cibernético de habla rusa apodado "Bestoffer", pero que se dirige a los clientes de empresas internacionales principalmente fuera de Rusia.
Sigue leyendo: YouTube publica un anuncio malicioso para la billetera de Bitcoin Electrum por accidente
El Grupo IB aconseja a los usuarios de Android que descarguen aplicaciones estrictamente desde la tienda de Google Play y que presten atención a las extensiones de los archivos descargados.
Como se informó en febrero, la aplicación descentralizada MetaMask fue extraída recientemente de Google Play después de que los investigadores detectaran malware que se hacía pasar por la herramienta para robar criptomonedas a los usuarios.