Han descubierto una nueva versión del troyano bancario móvil Faketoken, que es capaz de cifrar los datos de los usuarios y robar credenciales de más de 2.000 aplicaciones financieras de Android, según los expertos de Kaspersky Lab.
La nueva capacidad de cifrado de datos es inusual, ya que, como explican desde Kaspersky Lab, la mayoría de los ransomwares móviles se centran en bloquear el dispositivo en lugar de la información, que generalmente se respalda a la nube.
En este caso, los datos, incluidos los documentos y archivos multimedia, se cifran utilizando un algoritmo simétrico AES que, en algunos casos, puede ser descifrado por el usuario, sin tener que pagar un rescate por recuperar nuestras fotos o vídeos personales.
En el proceso inicial de infección, el troyano exige derechos de administrador, permiso para superponer otras aplicaciones o convertirse una app SMS por defecto. Entre otras cosas, esos derechos que otorga el usuario permiten al troyano robar datos, tanto directamente, como contactos o archivos, como de forma indirecta a través de páginas de phishing (suplantación de identidad).
Ánimo internacional
Faketoken está diseñado para robar datos a escala internacional. Una vez consigue los derechos, descarga una base de datos de su servidor de comando y control que contiene frases en 77 idiomas -incluyendo el castellano- para adaptarse a las diferentes localizaciones de dispositivos. La infección ha afectado a más de 16.000 víctimas en 27 países, centrando el ataque en Rusia, Ucrania, Alemania y Tailandia.
Este sistema se utiliza para lanzar mensajes de phishing y conseguir contraseñas de Gmail o superponer la aplicación Google Play, presentando una página falsa para robar los detalles de la tarjeta de crédito. De hecho, también puede descargar una lista de apps para ataques o plantillas HTML para generar páginas de phishing para las aplicaciones relevantes. Los expertos de Kaspersky Lab descubrieron una lista de 2.249 aplicaciones financieras.
La nueva versión de Faketoken también intenta reemplazar con sus propias versiones los accesos directos de aplicaciones para redes de medios sociales, mensajería instantánea y navegadores. El motivo no está claro ya que los iconos que sustituyen dirigen a las mismas aplicaciones legítimas.
¿Qué hacer?
"La última modificación del troyano Faketoken de banca móvil es interesante, ya que algunas de las nuevas variantes parecen no proporcionar un beneficio adicional a los ciberatacantes. Eso no significa que no debamos tomarlos en serio. Pueden representar la base para futuros desarrollos, o revelar la innovación continua de una familia de malware en constante evolución. Al detectar la amenaza, podemos neutralizarla y mantener los dispositivos y sus datos a salvo", dijo el analista senior de malware de Kaspersky Lab, Roman Unuchek.
Desde Kaspersky Lab aconsejan a los usuarios crear una copia de seguridad de todos los datos. Y advierten de que no se deben aceptar automáticamente los derechos y permisos cuando una app pide que lo hagas. Por el contrario, insta a instalar un anti-malware y a mantener los sistemas operativos actualizados.
