Un "troyano" bancario que se controla de forma remota fue descubierto en teléfonos móviles con Android cuyos propietarios usan la aplicación oficial del servicio de pagos PayPal, advirtió una empresa de seguridad informática.
El malware, que tiene la capacidad de realizar transferencias del equivalente en moneda local a 1.000 euros en cinco segundos, simula ser una herramienta para optimizar el rendimiento de la batería y es distribuido por fuera de Google Play, detalló la firma ESET en un comunicado.
// El FBI pide reiniciar los routers en todo el mundo por un virus ruso
Este software malicioso se controla de manera remota y se aprovecha del servicio de accesibilidad de Android para afectar a usuarios de la aplicación oficial de PayPal.
Para esto último, depende de la activación de un servicio de accesibilidad malicioso: este requerimiento es presentado a la víctima como una solicitud para habilitar el servicio de estadísticas.
Una vez que el propietario del teléfono abre la app y se registra, el servicio (si fue habilitado previamente) imita los clics para enviar dinero a la dirección de PayPal del atacante.
// Cómo funciona ZooPark, el virus que puede acceder a toda la información de un teléfono Android
"Durante el análisis de ESET, la aplicación intentó transferir 1.000 euros, aunque la moneda utilizada dependerá de la ubicación del usuario. Todo el proceso completo insume cerca de cinco segundos, y para un usuario desprevenido, no hay posibilidad de intervenir a tiempo", detalló Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
"Debido a que el malware no se basa en el robo de credenciales, sino que espera a que el usuario se registre a través de la aplicación oficial de PayPal por su propia cuenta, el ataque logra evadir el doble factor de autenticación", agregó en un comunicado.
// Google está eliminando juegos móviles que muestran anuncios pornográficos
El troyano tiene además otra funcionalidad para robar dinero, para lo que utiliza técnicas de phishing: despliega falsas pantallas de manera encubierta en aplicaciones legítimas, en Google Play, WhatsApp, Skype, Viber y Gmail. Las pantallas falsas buscan robar los datos de las tarjetas de crédito y las credenciales de acceso a la cuenta oficial de Gmail.
Algunos consejos
La firma de ciberseguridad, creadora del antivirus del mismo nombre, recomendó a los usuarios de teléfonos con Android revisar sus cuentas bancarias "para detectar transacciones sospechosas y considerar cambiar la contraseña de acceso al sistema de banca online / código PIN, así como la contraseña de Gmail".
Asimismo, sugirió utilizar el modo seguro de Android y desinstalar una aplicación llamada "Optimization Android" desde el menú administración de aplicaciones, en la sección "Configuración".
Dependiendo de los comandos recibidos desde su servidor C&C, el malware también puede:
Interceptar y enviar mensajes SMS; borrar todos los mensajes SMS; hacer modificaciones en la aplicación por defecto para mensajes SMS (para anular sistemas de doble factor de autenticación basados en SMS)
Obtener la lista de contactos
Hacer y responder llamadas
Obtener la lista de apps instaladas
Instalar apps y ejecutar apps instaladas
Iniciar comunicación “socket“
