El troyano bancario Xenomorph vuelve a la carga, esta vez, escondido en dos aplicaciones para Android que se están distribuyendo a través de la Play Store.

La tienda de aplicaciones de Google sigue teniendo problemas ante el goteo incesante de código malicioso que se distribuye a través de sus aplicaciones. En esta ocasión, un grupo de investigadores de Zscaler ThreatLabz ha descubierto que el troyano bancario Xenomorph se está distribuyendo incrustado en dos aplicaciones de la Google Playa Store.

Estas aplicaciones son ‘To do: Day Manager’, que cuenta con más de medio millón de descargas, y ‘Expense Keeper’.

Como acostumbran a operar los troyanos, Xenomorph actúa de manera silenciosa, de forma que el usuario descarga la aplicación sin detectar en ningún momento que está infectada por este troyano.

Con el objetivo de robar credenciales de aplicaciones bancarias, una vez que el usuario ha descargado la aplicación, consigue interceptar mensajes y SMS para hacerse con los códigos de autenticación y contraseñas.

Para ello se aprovecha del permiso que el usuario concede al descargar la app para leer notificaciones y mensajes de texto. Si bien se trata de permisos que no necesitaría un app de tareas o gestionar gastos, como es el caso de estas dos aplicaciones, normalmente los usuarios suelen aceptarlos para seguir adelante con su descarga.

Y, a partir de ahí, el troyano sigue adelante con su cometido de forma silenciosa.

Cómo actúa Xenomorph

Aunque Xenomorph apareció por primera vez en febrero de este mismo año, su vuelta a escena no ha sorprendido ya que este tipo de troyanos actúa sin que el usuario apenas se dé cuenta.

Xenomorph troyano bancario apps Google Play Store noticia bit life media

En esta ocasión, los expertos de Zscaler ThreatLabz señalan que, una vez que el usuario ha descargado la aplicación de la Google Play Store, la primera vez que el usuario ejecuta la aplk pide que habiliten el ‘Permiso de acceso’. De esta forma, se agrega como Device Admin, lo que impide que el usuario pueda desinstalar la aplicación desde el dispositivo.

En ese momento, el programa se pone en contacto con un servidor de Firebase desde donde se obtiene la URL de descarga del malware que, como sucede en muchas ocasiones, está alojado en Github. En ese momento se descarga el malware y empieza a ejecutarse en el dispositivo en un segundo plano sin que el usuario sea consciente.

Una vez está en funcionamiento, el troyano contacta con los servidores C2 (servidores de control y comando que dan órdenes a dispositivos infectados y reciben información de éstos) decodificándolos vía Telegram page content o de un código estático. Con ello, los ciberdelincuentes consiguen extender la infección.

Aquellos usuarios que hayan descargado estas aplicaciones, además de revisar sus cuentas bancarias, deberán eliminarlas de su dispositivo y, en el caso de no poder, restaurarlo de fábrica para eliminar todo rastro.

Asimismo, si bien Google está destinando importantes esfuerzos a comprobar la seguridad de las aplicaciones disponibles en su Play Store, es importante verificar su legitimidad antes de descargarlas.

En este sentido, también es recomendable revisar los permisos que se otorgan a las aplicaciones cuando se descargan para evitar dar los innecesarios que puedan atentar contra la seguridad del usuario.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre