Lo que vas a encontrar...
Los investigadores han observado el resurgimiento del troyano SharkBot dirigido a los usuarios de Android. Específicamente, descubrieron una nueva variante de malware SharkBot con más características maliciosas. Los usuarios deben tener cuidado al descargar aplicaciones de desarrolladores desconocidos o no confiables, incluso desde Play Store.
Más potentes superficies de variantes de malware SharkBot en línea
Los investigadores de Fox-IT han descubierto una nueva variante del malware SharkBot que infecta Play Store.
Tal como se resolvió, la versión 2.25 de SharkBot llamó la atención de Fox-IT cuando se comunicaba con sus servidores anteriores. Sin embargo, los investigadores observaron que el malware exhibía nuevas propiedades.
El malware SharkBot apareció por primera vez en línea a principios de este año, actuando como un poderoso troyano de Android. Se hizo pasar por muchas aplicaciones legítimas. Desde entonces, han seguido surgiendo muchas variaciones de SharkBot, que realizan diferentes actividades.
Específicamente, la variante reciente de SharkBot parece única porque ahora puede robar cookies de sesión. Por lo tanto, este malware ahora también amenaza la seguridad de las cuentas de los usuarios.
A diferencia de su predecesor, el nuevo lanzador de malware no utiliza el Servicio de accesibilidad para instalar el troyano. En cambio, engaña al usuario para que descargue el malware mediante la creación de notificaciones falsas para las actualizaciones de la aplicación.
Por ejemplo, en la campaña detectada por Fox-IT, el malware existía en Play Store a través de dos aplicaciones antivirus y limpiadoras de Android falsas: Mister Phone Cleaner y Kylhavy Mobile Security. Inicialmente, las aplicaciones lograron llegar a Play Store porque parecían inofensivas. Sin embargo, los desarrolladores luego implementaron el malware como actualizaciones de aplicaciones en los dispositivos infectados.
Si bien esta estrategia dependiente de la interacción del usuario elimina la automatización, es más beneficioso para los actores de amenazas evadir los controles de seguridad de Google. El cuentagotas de malware solicita directamente los APK de malware del servidor, instalándolos en los dispositivos de destino. Además, la nueva variante de SharkBot excluye la función de «Respuesta directa», lo que garantiza que no se detecte debido a permisos sospechosos.
Además del robo de cookies, otras características importantes de SharkBot 2.25 incluyen ataques de superposición, registro de teclas, interceptación de SMS y control remoto.
Un análisis técnico detallado del malware está disponible en la publicación de los investigadores.
Las aplicaciones maliciosas ahora se eliminan
Luego de este descubrimiento, los investigadores notificaron a Google sobre las aplicaciones maliciosas, luego de lo cual el gigante tecnológico eliminó las aplicaciones de Play Store.
Dado que ambas aplicaciones tienen muchas descargas, el malware puede continuar existiendo en los dispositivos infectados, amenazando la seguridad de la víctima y de otros usuarios. Por lo tanto, los usuarios que descargaron Kylhavy Mobile Security o Mister Phone Cleaner deben desinstalar las aplicaciones de inmediato y escanear sus dispositivos con un potente antimalware.
Para evitar este tipo de ataques en el futuro, los usuarios deben limitarse a descargar aplicaciones solo de desarrolladores conocidos y legítimos, incluso desde Play Store.
