Los troyanos bancarios afectan a los usuarios

Comparte en ...

Los investigadores han descubierto nuevas oleadas de troyanos bancarios dirigidos a los usuarios de teléfonos inteligentes Android. Los últimos identificados son los troyanos Vultur y Oscorp. Ambos troyanos apuntan a aplicaciones bancarias para robar credenciales de inicio de sesión y otra información.

¿Qué está tramando Vultur?

Según los investigadores de ThreatFabric, la mayoría de las aplicaciones objetivo del troyano Vultur están relacionadas con bancos con sede en Italia, España y Australia. Además de esto, se sospecha que Vultur está conectado con un marco cuentagotas conocido como Brunhilda.

  • Los investigadores identificaron dos aplicaciones de cuentagotas relacionadas con Vultur, una de las cuales se ha descargado más de 5.000 veces de la tienda Google Play.
  • Aprovecha ngrok para obtener acceso remoto al servidor VNC utilizado por el dispositivo y abusa de los servicios de accesibilidad de Android para averiguar qué aplicación se está ejecutando en primer plano.
  • Si el nombre de una aplicación coincide con la lista de aplicaciones objetivo de Vultur, inicia una sesión de grabación de pantalla. Además, aparece en el panel de notificaciones denominado aplicación Protection Guard.
  • Además, el troyano para hornear Android abusa de los servicios de accesibilidad para registrar todas las teclas presionadas en la pantalla (registro de teclas) y evitar la desinstalación manual de las aplicaciones por parte del usuario.

Sobre Oscorp

Casi al mismo tiempo, los investigadores de los sistemas Cleafy han identificado otro malware: Oscorp. Los atacantes aquí están utilizando operadores bancarios falsos para engañar a las víctimas por teléfono.

  • Este malware tiene la capacidad de interceptar, eliminar o enviar SMS y realizar llamadas telefónicas, realizar ataques de superposición en más de 150 aplicaciones móviles y realizar keylogging.
  • El malware permite a los atacantes conectarse de forma remota mediante el protocolo WebRTC. También abusa de los servicios de accesibilidad de Android.
  • Además, el troyano Oscorp tiene una conexión con UBEL (una botnet de Android), donde se encuentra el mismo formato de cadena ‘bot id’ con la subcadena inicial RZ junto con caracteres alfanuméricos aleatorios.

Conclusión

Vultur y Oscorp intentan obtener acceso remoto completo al dispositivo infectado y realizar transferencias bancarias no autorizadas. Ambos malware abusan de los servicios de accesibilidad de Android para pasar desapercibidos y realizar tareas maliciosas, lo que indica que los desarrolladores de malware están avanzando en el desarrollo de nuevos programas maliciosos y en la actualización de los existentes.

Comparte en ...
Scroll al inicio