El nuevo troyano Faketoken roba datos de más de 2.000 apps financieras

Disfrazado de programas y juegos, también puede sustraer credenciales

Publicado el 21 Dic 2016

74684_72

Los expertos anti-malware de Kaspersky Lab han descubierto una modificación del troyano bancario móvil Faketoken que puede cifrar los datos de los usuarios. Disfrazado de varios programas y juegos, incluyendo Adobe Flash Player, el troyano también puede robar credenciales de más de 2.000 aplicaciones financieras de Android.

Hasta la fecha, Faketoken ha afectado a más de 16.000 víctimas en 27 países, la mayoría ubicados en Rusia, Ucrania, Alemania y Tailandia. La nueva capacidad de cifrado de datos es inusual, ya que la mayoría de los ransomwares móviles se centran en bloquear el dispositivo en lugar de la información, que generalmente se respalda a la nube. En el caso de Faketoken, los datos, incluidos los documentos y archivos multimedia, como imágenes y vídeos, se cifran utilizando un algoritmo simétrico AES que, en algunos casos, puede ser descifrado por el usuario sin pagar un rescate.

Durante el proceso inicial de infección, el troyano exige derechos de administrador, permiso para superponer otras aplicaciones o convertirse una app SMS por defecto – a menudo dejando a los usuarios con poca o ninguna opción. Entre otras cosas, estos derechos permiten a Faketoken robar datos: tanto directamente, como contactos y archivos, e indirectamente, a través de páginas de phishing.

El troyano está diseñado para el robo de datos a escala internacional: una vez que todos los derechos necesarios están aprobados, descarga una base de datos de su servidor de comando y control que contiene frases en 77 idiomas para diferentes localizaciones de dispositivos, incluyendo el español. Se utilizan para lanzar mensajes de phishing para hacerse con las contraseñas de las cuentas de Gmail de los usuarios.

El troyano también puede superponer Google Play Store, presentando una página de phishing para robar los detalles de la tarjeta de crédito. De hecho, el troyano es capaz de descargar una larga lista de aplicaciones para ataques e incluso una página de plantillas HTML para generar páginas de phishing para las aplicaciones relevantes.

Los expertos de Kaspersky Lab descubrieron una lista de 2.249 aplicaciones financieras. Curiosamente, la nueva versión de Faketoken también intenta reemplazar con sus propias versiones los accesos directos de aplicaciones para redes de medios sociales, mensajería

instantánea y navegadores. El motivo no está claro ya que los iconos que sustituyen dirigen a las mismas aplicaciones legítimas.

La última modificación del troyano Faketoken de banca móvil es interesante, ya que algunas de las nuevas variantes parecen no proporcionar un beneficio adicional a los ciberatacantes. Eso no significa que no debamos tomarlos en serio. Pueden representar la base para futuros desarrollos, o revelar la innovación continua de una familia de malware en constante evolución. Al detectar la amenaza, podemos neutralizarla y mantener los dispositivos y sus datos a salvo", dijo Roman Unuchek, Analista Senior de Malware de Kaspersky Lab.

Kaspersky Lab recomienda a los usuarios de Android que tomen las siguientes medidas para protegerse contra el troyano Faketoken y otras amenazas de malware:

– Asegúrate de que todos los datos estén respaldados, copias de seguridad.

– No aceptes automáticamente los derechos y permisos cuando una aplicación te pide que lo hagas, piensa en lo que se solicita y por qué se solicita.

– Instala una solución antimalware en todos los dispositivos y manten el software del sistema operativo actualizado.

Kaspersky Lab ha detectado varios miles de paquetes de instalación Faketoken capaces de encriptar datos, el primero de los cuales data de julio de 2016. Los productos de Kaspersky Lab detectan todas las modificaciones de la familia de malware Faketoken.

¿Qué te ha parecido este artículo?

Tu opinión es importante para nosotros.

T
Redacción TICPymes

Artículos relacionados

Artículo 1 de 5