<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=378526515676058&amp;ev=PageView&amp;noscript=1">

¡Pilas! Hay un troyano infectando dispositivos Android: van más de 300.000

Troyano es un programa destructivo y el objetivo de este (en el que se centra la advertencia) es robar las credenciales de los usuarios de Facebook. Está activo en varios países, incluido Colombia.

  • Cibercriminales apuntan a usuarios de Android con falsas aplicaciones. FOTO Freepik
    Cibercriminales apuntan a usuarios de Android con falsas aplicaciones. FOTO Freepik
  • Pantalla de inicio de aplicaciones maliciosas. FOTO Cortesía
    Pantalla de inicio de aplicaciones maliciosas. FOTO Cortesía
  • Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN. FOTO Cortesía
    Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN. FOTO Cortesía
Por Juan Alcaraz S. | Publicado el 06 de diciembre de 2022

El troyano Schoolyard Bully, que está activo desde 2018, se ha convertido en una potencial amenaza para los usuarios con dispositivos Android. Así lo alertó la empresa de seguridad móvil Zimperium.

En el informe la compañía reveló que actualmente existe una campaña con este troyano, el cual ha logrado infectar a por lo menos 300.000 equipos en más de 70 países (incluido Colombia) y su intención principal es robar las credenciales de los usuarios que hacen parte de la red social más grande del mundo con casi 3.000 usuarios: Facebook.

Los investigadores también explicaron que este malware se ha encontrado en numerosas aplicaciones descargadas de Google Play Store y tiendas de aplicaciones de terceros: se camuflan como apps educativas legítimas con una amplia gama de libros y temas para que lean sus víctimas.

Lo que puede lograr este troyano es obtener accesos no autorizados a las credenciales. Es decir, robar información sensible que usted tenga en Facebook como el correo electrónico, el número de teléfono, el usuario y la contraseña. Y eso no es todo: también tiene la capacidad de saber datos del dispositivo como el nombre, la API y la RAM.

Pantalla de inicio de aplicaciones maliciosas. FOTO Cortesía
Pantalla de inicio de aplicaciones maliciosas. FOTO Cortesía

¿Cómo funciona?

El malware abre la URL legítima dentro de un WebView con el javascript malicioso inyectado para extraer el número de teléfono, la dirección de correo electrónico y la contraseña del usuario, luego lo envía al Firebase C&C configurado.

Además, utiliza bibliotecas nativas para ocultarse de la mayoría de las detecciones de virus antivirus y de aprendizaje automático.

Finalmente, el informe de Zimperium indicó que aunque estas aplicaciones ahora se han eliminado de Google Play Store, todavía están disponibles en las tiendas de aplicaciones de terceros esperando para atacar a su próxima víctima estudiantil.

Falsas apps de VPN

El equipo de investigación de la empresa de seguridad informática Eset prendió las alarmas sobre otra campaña en curso dirigida también a los usuarios de Android y que lleva adelante el grupo de APT Bahamut.

Según la información compartida, está activa desde enero de 2022 distribuyendo aplicaciones maliciosas a través de un sitio web falso de SecureVPN que ofrece descargas apps de Android. Aunque el malware empleado a lo largo de esta campaña utiliza el nombre SecureVPN, no tiene asociación alguna con el servicio y el software multiplataforma legítimo SecureVPN.

Entre los hallazgos clave se encontró que el objetivo principal es extraer datos confidenciales de la víctima y espiar activamente las aplicaciones de mensajería que utiliza.

Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN. FOTO Cortesía
Plantilla para sitio web gratuita que fue utilizada para crear el sitio web que distribuye la falsa app de VPN. FOTO Cortesía

El equipo de Eset además descubrió que existen por lo menos ocho versiones del spyware Bahamut. “El malware se distribuye a través de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones legítimas: SoftVPN y OpenVPN”. Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.

El malware tiene la capacidad de robar datos confidenciales del equipo de la víctima como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas. También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería como Signal, Viber, WhatsApp, Telegram y Facebook Messenger.

La exfiltración de datos (copia de datos) se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad.

¿Cómo cuidarse?

Para saber cómo proteger su teléfono y sus cuentas de redes sociales, la firma Fortinet compartió algunos consejos esenciales de seguridad:

1- Crear una contraseña fuerte: es necesario asegurarse de no utilizar la misma contraseña para todas las plataformas. Es posible usar un administrador de contraseñas para guardar todas las contraseñas de las diferentes cuentas. Utilizar caracteres aleatorios y no utilizar el mismo ID de usuario, también es recomendable.

2- Mantener las cuentas monitoreadas: es importante actualizar de manera constante nuestras credenciales de acceso, y revisar nuestras cuentas de pago para así poder detectar a tiempo cualquier actividad inusual.

3- Inspeccionar las tarjetas de regalo: al comprar una tarjeta de regalo en cualquier tienda, es importante inspeccionarla visualmente para detectar cualquier signo de manipulación antes de cargar fondos y apegarnos a proveedores que sabemos que mantienen sus tarjetas aseguradas detrás del mostrador.

4- No hacer compras por correo electrónico: no acceder a pagar cualquier compra virtual utilizando tarjetas de regalo cuando la solicitud se haga por correo electrónico, ya que en estos casos el objeto que estamos tratando de “comprar”, probablemente no exista. Por eso es importante atenernos a proveedores que conocemos y confiamos, y confirmar que el sitio para procesar pagos es seguro. Las tarjetas de crédito son el mejor medio para pagar ya que la mayoría cuenta con protección contra fraudes en algún nivel.

Si quiere más información:

Juan Alcaraz

Periodista. Hago preguntas para entender la realidad. Curioso, muy curioso. Creo en el poder de las historias para intentar comprender la vida.


Porque entre varios ojos vemos más, queremos construir una mejor web para ustedes. Los invitamos a reportar errores de contenido, ortografía, puntuación y otras que consideren pertinentes. (*)

 
Título del artículo
 
¿CUÁL ES EL ERROR?*
 
¿CÓMO LO ESCRIBIRÍA USTED?
 
INGRESE SUS DATOS PERSONALES *
 
 
Correo electrónico
 
Acepto Términos y Condiciones Productos y Servicios Grupo EL COLOMBIANO

Datos extra, información confidencial y pistas para avanzar en nuestras investigaciones. Usted puede hacer parte de la construcción de nuestro contenido. Los invitamos a ampliar la información de este tema.

 
Título del artículo
 
RESERVAMOS LA IDENTIDAD DE NUESTRAS FUENTES *
 
 
INGRESE SUS DATOS PERSONALES *
 
 
Correo electrónico
 
Teléfono
 
Acepto Términos y Condiciones Productos y Servicios Grupo EL COLOMBIANO
LOS CAMPOS MARCADOS CON * SON OBLIGATORIOS
Notas de la sección