La compañía de ciberseguridad, Trend Micro, alertó que 17 aplicaciones que se podían instalar desde Google Play Store integran el denominado DawDropper, un sistema que descarga de forma remota el código malicioso de troyanos bancarios en los dispositivos infectados.
Con información de Europa Press
Este ‘malware’ se encontraba incluido en aplicaciones de Android como Just In: Video Motion, Document Scanner Pro o Unicc QR Scanner.
Desde entonces, DawDropper llegó a estar presente en hasta 17 aplicaciones –que ya han sido retiradas de la Google Play–, con el objetivo de descargar de forma remota el código malicioso de hasta cuatro variantes de troyanos bancarios (Octo, Hydra, Ermac, y TeaBot) en los móviles.
Trend Micro señaló que, para cumplir su propósito, este sistema empleaba el servicio en la nube, Firebase Realtime Database, propiedad de Google. Gracias a este, evitaba ser detectado, al tiempo que tenía acceso a la dirección de descarga del código malicioso.
¿Cómo ataca el malware?
Una vez instalado el ‘malware’ en el terminal, las consecuencias variaban en función de la variante del troyano bancario. Para ilustrar su capacidad, Trend Micro pone como ejemplo al de la familia de ‘malware’ Octo.
En este caso, la aplicación que integra DawDropper trata de convencer al usuario para que le otorgue los permisos principales de accesibilidad, para tener todo el control de su sistema
Una vez obtenido este poder, el ‘malware’ puede ser capaz de deshabilitar ciertos filtros de seguridad del dispositivo, como Google Play Protect, el sistema de protección también presente en Google Play Store, capaz derastrear las aplicaciones para verificar si hay comportamientos maliciosos.
Este troyano también es capaz de mantener activo el dispositivo afectado para recopilar y descargar información sensible del usuario, como su lista de contactos, otras ‘apps’ instaladas e incluso mensajes de texto, para transferirlos a un servidor de Comando y Control (C&C).
El ‘malware’ Octo puede también grabar la pantalla del dispositivo para registrar las contraseñas del usuario afectado, además de sus direcciones de correo electrónico, sus contraseñas de acceso a otros servicios o sus credenciales bancarias.
Recomendación
La firma de ciberseguridad recomendó para evitar ser víctimas de estás filtraciones, es iniciar una revisión del apartado de reseñas de la aplicación para buscar valoraciones negativas.
Otro consejo sería evitar descargar aplicaciones o servicios desde fuentes desconocidas o sitios web de aspecto sospechoso, a fin de evitar la proliferación de las mencionadas amenazas.
