Troyano encontrado en Google Play Store robó 12 mil dolares a sus víctimas

88

Una aplicación de Android disponible en Google Play Store fue marcada como peligrosa tal descubrir que contaba con código malicioso. El troyano con más de 10 mil descargas robaba las credenciales bancarias del usuario y las enviaba al atacante.

Según un reporte, el troyano era capaz de eludir la autenticación de dos pasos vía SMS, y apuntó a bancos alemanes, polacos y checos. Dos de estos clientes se vieron afectados, con una perdida de 280,000 Kč, que serían unos $12,824.98 dólares.

La aplicación responsable de este robo es QRecorder, su supuesta función es el de grabar llamadas telefónicas.Según el investigador Lukas Stefanko, una vez lanzada la aplicación le solicitará al usuario que le permita tener permisos de accesibilidad.

qrecorder-google-play
Imagen 1. Aplicación QRecorder en la Google Play

Facilitarle el permiso a la aplicación permitirá que el malware tengo control de lo que se le muestre al usuario.

qrecorder-permisos
Imagen 2. Permisos de accesibilidad

La aplicación funcionó como debería, sólo por una pequeña cosa: queda esperando los comandos del atacante. Según el análisis de Lukas, los comandos son recibidos luego de 24 horas.

El atacante utiliza mensajes Firebase para comunicarse con los dispositivos comprometidos. Preguntará si algunas de las aplicaciones pertenecientes a los bancos seleccionados están instalados en el dispositivo, de ser así enviará un enlace con el código malicioso. Antes de descargarlo, preguntará al usuario sobre el permiso de accesibilidad, la instalaría y abriría de forma automática.

Una vez terminado, establece disparadores para cuando alguna de aplicaciones bancarias legítimas son ejecutadas, de esta forma crearía una actividad de aspecto similar y sobrescribiría las que son puestas por la aplicación oficial, en otras palabras, hacen phishing para poder acceder a las credenciales.

No es la primera vez que una aplicación que está disponible en Google Play roba credenciales de sus usuarios, pero lo que sí debemos tomar en cuenta son formas de proteger nuestras cuentas.

¡Necesitamos de tu ayuda!

Los ingresos por publicidad van cada vez más en picada, los sitios independientes como el nuestro son los más afectados. Nos hemos visto la necesidad de encontrar otras formas para continuar en funcionamiento.

Nuestro principal compromiso es el de mantener nuestro contenido libre e independiente, lo que significa que no existen publicaciones promocionadas, publicidad molesta ni tarifas de suscripción.

Si te gusta lo que hacemos y deseas apoyarnos, podrías considerar ser parte de nuestro Patreon:

Comentarios

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que estás de acuerdo con esto, pero puedes optar por no hacerlo si lo deseas. AceptarLeer más