Los investigadores de Zscaler aparentemente identificaron a un infostealer Android que se propaga haciéndose pasar por una actualización de Google Chrome. El malware en cuestión es capaz de obtener datos de los registros de llamadas de los usuarios, de sus mensajes de texto, de su historial de navegación, e incluso de sus credenciales bancarias y de tarjetas de crédito antes de enviarlos a un servidor remoto.
El malware se hace pasar por diferentes URLs que parecen actualizaciones de Google reales. Dichos dominios tienen una vida corta, y se actualizan regularmente y son remplazados por nuevos para evitar cualquier forma de filtrado de URLs. Cuando un usuario visita un sitio infectado, aparece una alerta y advierte al usuario que debe instalar una actualización – una táctica de miedo que se utiliza comúnmente para provocar un sentido de urgencia. Amenaza al usuario de que su dispositivo está comprometido por un virus y que sólo puede liberarse de la infección mediante la actualización del sistema. En un comunicado, los investigadores también señalan, “Como parte de la instalación, el malware solicitará privilegios de administrador que le permitan detener a las aplicaciones antivirus que corren en segundo plano”.
Una vez que el malware penetra al sistema, es capaz de espiar las comunicaciones salientes, entrantes e incluso las perdidas, de las llamadas y mensajes de texto antes de enviar los datos a su servidor de comando y control. Asimismo, es capaz de terminar las llamadas entrantes de personas desconocidas.
Además de esto, el malware crea una página maliciosa que parece una página de pago legítima de Google Play Store. La información de tarjetas de crédito que el usuario capture podría considerarse robada cuando el malware hace una captura de pantalla y la envía a un número telefónico ruso.
Y los investigadores añaden, “Una vez instalado, este infostealer no puede eliminarse del teléfono pues el malware no permite que el usuario desactive su acceso administrativo”. Una vez que se compromete el dispositivo móvil, el único antídoto para la infección sería restablecer el dispositivo a sus configuraciones de fábrica, lo que podría hacer que se pierdan los datos del usuario guardados en el dispositivo.
Aunque continúan las pesquisas, los investigadores advirtieron que un inmenso número de URLs están distribuyendo activamente el malware. Esta es una causa de preocupación para los usuarios ya que cualquier víctima involuntaria de este malware que roba información personal y bancaria podría convertirse en una víctima potencial de fraude financiero o bancario, o incluso del robo de identidad.
Leave a Reply