Los investigadores han descubierto un nuevo malware bancario para Android que apunta al brasileño Itaú Unibanco utilizando un sitio similar de la tienda Google Play para realizar transacciones financieras fraudulentas en los dispositivos de las víctimas sin su conocimiento.
«Esta aplicación tiene un icono y un nombre similar que podría hacer que los usuarios piensen que es una aplicación legítima relacionada con Itaú Unibanco», dijeron los investigadores de Cyble en un informe publicado la semana pasada. » [threat actor] creó una tienda Google Play falsa y alojó malware dirigido a Itaú Unibanco con el nombre ‘sincronizador.apk’ «.
La táctica de usar sitios de tiendas de aplicaciones falsas como cebo no es nueva. En marzo, Meta (antes Facebook) publicó detalles de una campaña ofensiva que utilizó su plataforma como parte de una operación más amplia para espiar a musulmanes uigures a través de sitios web fraudulentos de terceros que usaban réplicas de dominios para portales de noticias populares y sitios web similares a terceros. . Tiendas de aplicaciones de Android, donde los atacantes insertan aplicaciones falsas con teclados, oraciones y diccionarios que podrían abordar objetivos.
En el último caso, que registró Cyble, la URL falsa no solo pretende ser el mercado oficial de aplicaciones de Android, sino que también alberga a Itaú Unibanco con malware y afirma que la aplicación tuvo 1.895.897 descargas.
A los usuarios que instalan y ejecutan una aplicación fraudulenta desde una página de la tienda de Google Play de renombre se les solicita que habiliten los servicios de accesibilidad y otros permisos intrusivos que permiten que el malware acceda a las notificaciones, cargue el contenido de la ventana y realice gestos de hacer clic y deslizar el dedo.
Según los investigadores, el objetivo del troyano es realizar transacciones financieras fraudulentas en la aplicación legítima Itaú Unibanco manipulando los campos de entrada del usuario, sumando así una larga lista de malware bancario que explota la API por conveniencia. Google, por su parte, ha comenzado a imponer nuevas restricciones para restringir el uso de permisos que permiten a las aplicaciones recuperar información sensible de dispositivos Android.
Esta no es la primera vez que una empresa de servicios financieros con sede en Sao Paulo pasa desapercibida entre los grupos en riesgo con motivaciones financieras. A principios de abril, ESET presentó un nuevo troyano bancario llamado Janeleiro, que se ha observado en sectores corporativos en varios sectores como ingeniería, salud, comercio minorista, manufactura, finanzas, transporte y gobierno desde al menos 2019 en Brasil.
«Los Throat Actors están adaptando constantemente sus métodos para evitar la detección y encontrar nuevas formas de apuntar a los usuarios a través de técnicas cada vez más sofisticadas. Estas aplicaciones maliciosas a menudo se disfrazan como aplicaciones legítimas para obligar a los usuarios a instalarlas», dijeron los investigadores.
«Los usuarios deben instalar aplicaciones después de la autenticación e instalarlas exclusivamente desde la tienda oficial de Google Play y otros portales confiables para evitar tales ataques».
