Los analistas de Kaspersky Lab han descubierto una nueva mutación del famoso troyano bancario móvil Faketoken, capaz de robar credenciales desde aplicaciones para pedir y pagar taxis
- Los analistas de Kaspersky Lab han descubierto una nueva mutación del famoso troyano bancario móvil Faketoken, capaz de robar credenciales desde aplicaciones para pedir y pagar taxis
- Entre otras cosas, el troyano también puede monitorizar las llamadas del usuario, grabarlas y transmitir los datos a los servidores de comando y control
El mercado de aplicaciones móviles está creciendo y ofrece cada vez más servicios que almacenan información financiera, incluidas entre ellas las aplicaciones de reservas de taxi y vehículos compartidos que necesitan contar con datos de tarjetas de crédito para realizar el pago. Instaladas en millones de dispositivos Android de todo el mundo, se han convertido en objetivo muy atractivo para los cibercriminales que han ampliado de modo significativo la operatividad del malware bancario móvil
La nueva versión del troyano Faketoken realiza un seguimiento activo de las aplicaciones y, cuando el usuario las utiliza, coloca sobre ella una ventana de phishing para robar los detalles de la tarjeta bancaria de la víctima. El troyano presenta una interfaz idéntica, con los mismos esquemas de colores y logos, creando inmediatamente una capa completamente imperceptible. Según los resultados de las investigaciones de Kaspersky Lab, los cibercriminales están usando este malware contra las apps internacionales más populares de reserva de taxi y de compartición de vehículos.
Más aun, el troyano roba todos los mensajes SMS entrantes redirigiéndoles a sus servidores de comando y control, lo que permite a los criminales acceder a las contraseñas de verificación única enviadas por el banco, u otros mensajes enviados por los servicios de taxi y compartición de vehículo. Entre otras cosas, esta mutación de Faketoken puede también monitorizar las llamadas del usuario, grabarlas y transmitir los datos a los servidores de comando y control.
La superposición es una función muy común permitida en muchas aplicaciones móviles. El año pasado, Kaspersky Lab informó que una mutación de Faketoken estaba atacando a más de 2.000 aplicaciones financieras por todo el mundo disfrazándose de otros programas y juegos, a menudo imitando Adobe Flash Player. Desde entonces, Faketoken ha continuado su desarrollo y ampliado la huella geográfica de sus actividades.
“El hecho de que los cibercriminales hayan ampliado sus actividades a otras áreas, como las de reserva de taxi y compartición de vehículo, implica que los desarrolladores de estos servicios deben empezar a prestar más atención a la protección de sus usuarios. La industria financiera está familiarizada con intentos de fraude y otros trucos, y su respuesta ha sido involucrarse en la implementación de tecnologías de seguridad en las aplicaciones, reduciéndose el riesgo de robo de datos críticos financieros. Quizás ya es el momento para que otros servicios que trabajan con información financiera sigan estos pasos. La nueva versión de Faketoken se dirige principalmente contra usuarios rusos. Sin embargo, la presencia geográfica de los ataques puede ampliarse en un futuro. Ya lo hemos visto antes en versiones anteriores de Faketoken y de otros malware bancarios”, comenta Viktor Chebyshev, experto de seguridad de Kaspersky Lab.
Los analistas han detectado también ataques de Faketoken dirigidos contra otras aplicaciones móviles, como aplicaciones de reservas de hotel, viajes, pago de multas de tráfico, Android Pay y Google Play Market.
Para protegerse contra el troyano Faketoken y otras amenazas de malware sobre Android, Kaspersky Lab recomienda a los usuarios que no instalen aplicaciones de origen desconocido y que en sus dispositivos hagan uso de soluciones de seguridad fiables.
Más información sobre la nueva versión del malware Faketoken en Android está disponible en Securelist.com.
