Un nuevo malware llamado Xenomorph ha infectado decenas de miles de móviles Android y está diseñado para robar información de cuentas financieras en Europa. Lo peor del asunto, es que está siendo distribuido en apps aparentemnte inocuas de la tienda oficial Google Play Store. En efecto, investigadores de la empresa de prevención de fraudes y delitos cibernéticos ThreatFabric, que analizaron este desarrollo, encontraron un código y vínculos claros con el conocido troyano bancario Alien y de ahí su denominación. Esto sugiere que las dos amenazas están conectadas de alguna manera. O Xenomorph es el sucesor de Alien o alguien ha estado trabajando en ambos. Como otros de su tipo, este malware tiene como objetivo robar información financiera confidencial, apoderarse de cuentas bancarias, realizar transacciones no autorizadas y vender los datos robados a compradores interesados. Las funcionalidades de Xenomorph no están completamente desarrolladas según la investigación, pero el troyano puede representar una gran amenaza ya que apunta a 56 bancos y podría alcanzar un potencial comparable a otros troyanos bancarios Android modernos. Por ejemplo, el malware puede interceptar notificaciones, registrar SMS y usar inyecciones para realizar ataques superpuestos, por lo que ya puede arrebatar credenciales y contraseñas de un solo uso utilizadas para proteger cuentas bancarias. Luego de su instalación, la primera acción que realiza es enviar una lista de los paquetes instalados en el dispositivo infectado para cargar las superposiciones adecuadas. Para lograr lo anterior, el malware solicita la concesión de permisos del Servicio de Accesibilidad en el momento de la instalación y luego abusa de los privilegios para concederse permisos adicionales según sea necesario: “Su motor de accesibilidad es muy detallado y está diseñado con un enfoque modular en mente. Contiene módulos para cada acción específica requerida por el bot y se puede ampliar fácilmente para admitir más funcionalidades. No sería sorprendente ver este bot con capacidades semi-ATS en un futuro muy cercano”, alertan desde ThreatFabric. El malware Xenomorph se ha distribuido en la Google Play Store a través de aplicaciones genéricas que dicen “aumentar el rendimiento” como Fast Cleaner. Estas utilidades son un clásico señuelo de los troyanos bancarios y ya lo vimos con Alien. Para evadir el rechazo durante la revisión de la aplicación en la tienda, Fast Cleaner obtiene la carga útil luego de la instalación, por lo que la aplicación está limpia en el momento del envío. Google ha hecho un gran esfuerzo por asegurar la Play Store, pero todavía hay malware que se distribuye desde ahí. “Los usuarios también tienen que aportar, descargando únicamente las apps de máxima confianza. Olvide todo lo que prometa aumentar el rendimiento. Son meras aplicaciones basura que no hacen nada de lo que prometen. O peor, se usan para distribuir malware” advirtieron. A tener cuidado con ellos :(
