Falsas financieras apps en Google Play roban datos bancarios de usuarios

Recientemente, los ciberdelincuentes han encontrado una forma de infiltrarse en la tienda oficial de Google Play. En esta oportunidad, ofrece falsas aplicaciones que suplantan la identidad de seis bancos internacionales y Exchange de criptomonedas para robar datos personales.

Otro grupo de falsas aplicaciones financieras encontró el formulario para ingresar a la tienda oficial de Google Play. En esta oportunidad, las aplicaciones han suplantado la identidad de seis bancos de Nueva Zelanda, Australia, Reino Unido, Suiza y Polonia, así como la casa de cambio de criptomonedas de Austria, Bitpanda. A través de formularios falsos, las aplicaciones maliciosas buscan robar datos de tarjetas de crédito y/o claves de acceso a entidades financieras legítimas que pretenden suplantar.

Figura 1: seis de las aplicaciones maliciosas descubiertas en Google Play.

Las versiones falsas de estas aplicaciones se cargaron en Google Play en junio de 2018 y se instalaron más de mil veces antes de que Google las eliminara. Asimismo, fueron subidos bajo nombres de desarrolladores distintos, cada uno haciéndose pasar por uno diferente. Sin embargo, similitudes en el código sugieren que las aplicaciones forman parte del trabajo de un solo atacante. Por otra parte, las apps utilizan obuscación, lo cual podría haber contribuido a que loggaran ingresado a la tienda sin ser detectadas.

El único propósito de estas aplicaciones maliciosas es obtener información sensible de usuarios desprevenidos. Algunos se aprovechan de la ausencia de una aplicación de servicio legítima oficial (como Bitpanda), mientras que otros intentan engañar a los usuarios creando aplicaciones oficiales que existen. La lista completa de servicios y cuyos bancos identó se intentó supplantar puede verse al final del artículo.

¿Cómo funcionan las aplicaciones?

Si las solicitudes no comparten la misma forma de proceder, una vez ejecutadas muestran un formulario en el que solicitan los datos de las tarjetas de crédito y/o credenciales de acceso al sistema de banca en línea del banco cuya identidad se pretende suplantado (se pueden ver ejemplos en la Figura 2). Si los usuarios completan estos formularios, los datos proporcionados se envían al servidor del atacante. Luego, las aplicaciones muestran un mensaje en el que felicitan o agradecen al usuario (ejemplo de este mensaje en la Figura 3), y aquí es donde termina su funcionalidad.

Figura 2: formularios falsos roban datos de tarjetas de crédito y credenciales del sistema bancario en línea.

Figura 3 – Imagen que se despliega al final en una de las aplicaciones maliciosas.

¿Cómo estar protegido?

Si sospecha que ha instalado y utilizado una de estas aplicaciones maliciosas, le recomendamos que la desinstale de inmediato.

Además, cambia la clave pin de tu tarjeta, así como también la contraseña con la que accedes a tu sistema de banca online y revisas que no hubo actividad específica. En caso de detectar transacciones inusuales contáctate con tu banco. Se recomienda a los usuarios del Exchange de criptomonedas Bitpanda que creen haber instalado la falsa aplicación bancaria que revisaron sus cuentas por cualquier actividad específica y que también modificaron sus claves de acceso.

Para evitar ser víctima de phishing y otras aplicaciones bancarias falsas, le recomendamos que:

  • Solo confíe en las aplicaciones bancarias o financieras si están vinculadas desde el sitio web oficial de su banco o servicio financiero;
  • Solo descarga aplicaciones de Google Play. Aunque esto no asegura que la aplicación no sea maliciosa, este tipo de aplicaciones falsas son más comunes en las tiendas de terceros y rara vez se eliminan una vez que se descubren, a diferencia de Google Play, donde se detectan una vez un comportamiento malintencionado son dadas de baja. ;
  • Presta atención a la cantidad de descargas, puntajes y comentarios que se realizan sobre la aplicación en Google Play;
  • Solo ingresa tu información personal en formulario en línea si estás seguro de su legitimidad;
  • Mantenga su dispositivo Android actualizado y use una solución de seguridad confiable. Los productos de ESET detectan y bloquean estas apps maliciosas como Android/Spy.Banker.AIF, Android/Spy.Banker.AIE y Android/Spy.Banker.AIP.

Bancos y servicios afectados

Australia y Nueva Zelanda

Banco de la Commonwealth de Australia (CommBank)
El Grupo Bancario de Australia y Nueva Zelanda Limited (ANZ)
Banco ASB

Reino Unido
Banco TSB

Suiza
PostFinanzas

polonia
Bank Zachodni WBK (rebautizado como Santander Bank Polska SA en septiembre de 2018)

Austria
Bitpanda

Indicadores de compromiso (IoC)

Nombre del paquete Picadillo Detección
cw.cwnbm.móvil 651A3734103472297A2C65C81757FB5820AD2AB7 Android/Spy.Banker.AIF
au.money.go DE09F03C401141BEB05F229515ABB64811DDB853 Android/Spy.Banker.AIF
asb.ezy.pay B6D70983C28B8A0059B454065D599B4E18E8097C Android/Spy.Banker.AIF
es.mobile.tsb 91692607FB529218ADF00F256D5D1862DF90DAAF Android/Spy.Banker.AIF
ch.post.finanzas FE1B2799B65D36F19484930FAF0DA17A0DBE9868 Android/Spy.Banker.AIF
pl.mblzch C43E7A28E1B807225F1E188C6DA51D24DCC54F5F Android/Spy.Banker.AIE
www.bit.panda 7D80158C8C893E46DC15E6D92ED2FECFDB12BF9F Android/Spy.Banker.AIP

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!