Cómo los troyanos bancarios de Android superan las defensas de Google Play

Malware en un teléfono
Suttipun / Shutterstock.com

En lo que es un recordatorio sombrío de que tenga cuidado con lo que instala, un nuevo grupo de aplicaciones de Android se han descargado más de 300,000 veces y están robando información de cuentas bancarias y agotando cuentas.

Como se informó a Ars Technica , un grupo de investigadores de  ThreatFabric descubrió la cadena de aplicaciones que roban credenciales de cuentas bancarias y fondos de dichas cuentas.

“Lo que hace que estas campañas de distribución de Google Play sean muy difíciles de detectar desde una perspectiva de automatización (sandbox) y aprendizaje automático es que todas las aplicaciones de cuentagotas tienen una huella maliciosa muy pequeña”, escribieron investigadores de la empresa de seguridad móvil ThreatFabric en una publicación de blog. «Esta pequeña huella es una consecuencia (directa) de las restricciones de permisos impuestas por Google Play».

Eso significa que las aplicaciones comienzan como algo no malicioso. Por ejemplo, podrían ser escáneres QR , escáneres de PDF o carteras de criptomonedas . Una vez instaladas, las aplicaciones solicitarán que los usuarios descarguen actualizaciones a través de fuentes de terceros, lo que significa que está descargando las actualizaciones en su dispositivo, evitando así las protecciones de Google Play .

Trabajar de esta manera también significa que los escáneres de virus no detectan las aplicaciones cuando se instalan, ya que son completamente inofensivas cuando se descargan por primera vez de Google Play. No es hasta que se han ganado la confianza del usuario y pueden convencerlos de que descarguen las actualizaciones de terceros para que hagan su trabajo.

«Esta increíble atención dedicada a evadir la atención no deseada hace que la detección automatizada de malware sea menos confiable», dijo la publicación ThreatFabric. «Esta consideración se ve confirmada por la puntuación total de VirusTotal muy baja de los 9 goteros que hemos investigado en esta publicación de blog».

Relacionado:  Por qué quieres un televisor de 120 Hz, incluso si no eres un jugador

La familia de malware específica se llama Anatsa y es un troyano dirigido a bancos en Android. Tiene acceso remoto y sistemas automáticos de transferencia de fondos que pueden drenar la cuenta bancaria de un usuario una vez que tiene acceso. Viene con la capacidad de robar contraseñas y códigos de autenticación de dos factores. También puede registrar pulsaciones de teclas y realizar capturas de pantalla.

Entonces, ¿qué puede hacer para evitar aplicaciones que se escapan de las defensas de Google? No descargue actualizaciones para una aplicación descargada en Google Play. Si la aplicación necesita una actualización regular, no debería haber ninguna razón para que la actualización se descargue, ya que Google Play tiene su propio proceso de actualización para las aplicaciones. La única razón por la que un desarrollador necesitaría que descargue una actualización es si está tratando de eludir las protecciones de Google por alguna razón.

Además, intente descargar aplicaciones de empresas acreditadas si es posible. También puede mantenerse a salvo eliminando las aplicaciones que ya no usa.