Malware bancario: cómo funciona la estafa
Luego de conocerse esta noticia, las aplicaciones fueron bajadas de Google Play.
El objetivo de esta maniobra era que los usuarios descarguen, de forma remota, el código malicioso de hasta cuatro troyanos bancarios en los dispositivos.
Trend Micro remarcó que, para cumplir su meta, este sistema utilizaba el servicio en la nube, Firebase Realtime Database, pertenecientes a Google.
Gracias a esto, evitaba ser detectado y tenía acceso a la dirección de descarga del código malicioso.
El denominado sistema DawDropper, empleaba con GitHub, otro servicio de terceros, propiedad de Microsoft, que como camino alternativo para obtener el código, que finaliza en la descarga de los usuarios a sus dispositivos afectados.
Así funcionaba DawDropper
La aplicación que forma parte DawDropper persuadía a los usuarios para que le otorgara los permisos principales de accesibilidad para controlar el 100% de su sistema.
Luego de ser instalado el "malware", éste tenía la capacidad de inhabilitar cualquier filtro de seguridad del dispositivo, como Google Play Protect, el sistema de protección que rastreaba movimientos extraños.
Los troyanos mantenían los dispositivos activos para recolectar la mayor información posible del usuario, como contactos, mensajes de textos para trasladarlos a un servidor de Comando y Control (C&C).
Además, éste "malware" era capaz de grabar la pantalla y así registrar las contraseñas del artefacto afectado.
/https://assets.iproup.com/assets/public/images/lazyload.gif)
Google Play Store poseía algunas "apps" que permitían robar información bancaria, pero ya fueron dadas de baja
¿Cómo identificar estas app y estar prevenido?
Hay varios elementos similares en las 'apps' maliciosas presentes en Google Play que le permiten hablar de un "patrón" que puede ayudar a los usuarios a anticiparse a este tipo de amenazas.
Para empezar, la cuenta de los desarrolladores suele incluir solo una aplicación, lo que puede levantar las sospechas del usuario, y en caso de ser vetados de la tienda, crean simplemente otra cuenta que reemplaza a la anterior.
Otro aspecto que deben tener en cuenta los usuarios son las políticas de privacidad.
En el caso de estas 'apps' maliciosas, suelen ser cortas, se sirven de una plantilla y nunca llegan a explicar con claridad su actividad. Además, tienden a estar alojadas en una página de Google Doc o de Google Sites.
En último lugar, este tipo de aplicaciones nunca suele estar relacionada con un sitio web o el nombre de una compañía que respalde su actividad y genere confianza en el consumidor.
