Una nueva familia de malware bancario que apunta a usuarios de Brasil fue descubierta recientemente. Según publicó el investigador de ESET, Lukas Stefanko, quien realizó un análisis de estas amenazas, además de distribuirse a través de la tienda oficial Google Play, las amenazas también se promocionaban mediante anuncios patrocinados en Facebook.

Se trata de un malware bancario que simulaba ser una aplicación para mejorar el rendimiento del dispositivo llamada “Cleand Droid” y que registraba más de 500 instalaciones; una aplicación para monitorear Facebook llamada “Quem viu teu perfil” que presentaba más de 10.000 instalaciones, y una app llamada “MaxCupons” que registraba 1.000 instalaciones desde la tienda oficial de Google. Según explicó Stefanko, para mantenerse lejos del alcance de los radares, estas aplicaciones maliciosas (que ya fueron reportadas al equipo de seguridad de Google) solamente se podían descargar e instalar en Brasil.

Aplicación para mejorar el rendimiento del dispositivo llamada “Cleand Droid".

“Quem viu teu perfil” estuvo disponible en Google Play durante al menos un mes y tuvo más de 10.000 descargas.

De acuerdo a los datos registrados, “Quem viu teu perfil” estuvo disponible en Google Play durante al menos un mes y tuvo más de 10.000 descargas. Sin embargo, existen dos páginas de Facebook donde una de ellas distribuye la aplicación. De acuerdo al investigador de ESET, ambas páginas fueron creadas el 24 de octubre y utilizan la misma imagen de perfil que en la tienda de Google, y una de las páginas se posicionaba en la descripción de Facebook en la ciudad de San Pablo. Probablemente para atraer a más personas de esta ciudad en particular.

Ejemplo de una de las páginas de Facebook que promocionaban CleanDroid.

Función maliciosa de estas apps

Una vez instaladas, estas aplicaciones solicitaban a los usuarios la activación de los servicios de accesibilidad. De esta manera, el malware lo que hace es obtener el nombre y el contenido de aplicaciones legítimas que han sido ejecutadas. El objetivo de estas aplicaciones es engañar a los usuarios para que ingresen sus credenciales en el marco de una falsa actividad provocada por la infección. En este sentido, esta familia de troyanos tiene como fin afectar a unas 26 aplicaciones móviles legítimas, de las cuáles no todas son apps bancarias, sino también financieras, de entretenimiento, para social media, compras online, entre otras.

En la siguiente imagen se puede apreciar la lista de aplicaciones legítimas que logra afectar esta nueva familia de malware para Android, tales como Uber, Mercadolibre, entre otras tantas más.

Lista de aplicaciones legítimas que logra afectar esta nueva familia de malware para Android.

Cómo eliminar estas apps maliciosas

Según Stefanko, los atacantes detrás de estas amenazas no implementaron ningún tipo de protección para evitar o dificultar la desinstalación de estas apps, por lo tanto, solo basta con ingresar a la configuración y a la lista de aplicaciones instaladas para pinchar en la opción “desinstalar”.

Te puede interesar también: