El nuevo malware 'Alien' puede robar contraseñas de 226 aplicaciones de Android

Alertas

La mayoría de los objetivos son aplicaciones bancarias, pero Alien también puede mostrar páginas de phishing para aplicaciones sociales, de mensajería instantánea y de criptomonedas.

Los investigadores de seguridad han descubierto y analizado una nueva cepa de malware de Android que viene con una amplia gama de características que le permiten robar credenciales de 226 aplicaciones.

Llamado Alien, este nuevo troyano ha estado activo desde principios de año y se ha ofrecido como una oferta de Malware-as-a-Service (MaaS) en foros clandestinos de piratería.

En un informe compartido esta semana con ZDNet, los investigadores de seguridad de ThreatFabric profundizaron en las publicaciones del foro y las muestras de Alien para comprender la evolución, los trucos y las características del malware.

CERBERUS FUERA, ALIEN DENTRO

Según los investigadores, Alien no es realmente un código nuevo, sino que en realidad se basó en el código fuente de una banda de malware rival llamada Cerberus.

Cerberus, aunque era un MaaS activo el año pasado, fracasó este año, y su propietario intentó vender su base de código y su base de clientes, antes de finalmente filtrarlo de forma gratuita.

ThreatFabric dice que Cerberus se extinguió porque el equipo de seguridad de Google encontró una forma de detectar y limpiar los dispositivos infectados. Pero incluso si Alien se basó en una versión anterior de Cerberus, Alien no parece tener este problema, y su MaaS intervino para llenar el vacío dejado por la desaparición de Cerberus.

Y los investigadores dicen que Alien es incluso más avanzado que Cerberus, un troyano respetable y peligroso por derecho propio.


ALIEN PUEDE INTERCEPTAR ALGUNOS CÓDIGOS 2FA, ESPIAR TONELADAS DE APLICACIONES

ThreatFabric dice que Alien es parte de una nueva generación de troyanos bancarios Android que también han integrado funciones de acceso remoto en sus bases de código.

Esto hace que Alien sea una mezcla peligrosa con la que infectarse. Alien no solo puede mostrar pantallas de inicio de sesión falsas y recopilar contraseñas para varias aplicaciones y servicios, sino que también puede otorgar a los piratas informáticos acceso a dispositivos para usar dichas credenciales o incluso realizar otras acciones.

Actualmente, según ThreatFabric, Alien cuenta con las siguientes capacidades:

  • Puede superponer contenido sobre otras aplicaciones (función utilizada para el phishing de las credenciales de inicio de sesión)
  • Registro de entrada de teclado
  • Proporcionar acceso remoto a un dispositivo después de instalar una instancia de TeamViewer
  • Recolectar, enviar o reenviar mensajes SMS
  • Robar lista de contactos
  • Recopilar detalles de dispositivos y listas de aplicaciones
  • Recopilar datos de ubicación geográfica
  • Realizar solicitudes de USSD
  • Desviar llamadas
  • Instalar e iniciar otras aplicaciones
  • Cambiar páginas de inicio de los navegadores en las páginas deseadas
  • Bloquea la pantalla para una función similar a un ransomware
  • Espiar notificaciones mostradas en el dispositivo
  • Robar códigos 2FA generados por aplicaciones de autenticación

Esa es una gama de características bastante impresionante. ThreatFabric dice que estos se utilizan principalmente para operaciones relacionadas con el fraude, como la mayoría de los troyanos de Android tienden a ser en estos días, y los piratas informáticos apuntan a las cuentas en línea en busca de dinero.

Durante su análisis, los investigadores dijeron que encontraron que Alien tenía soporte para mostrar páginas de inicio de sesión falsas para otras 226 aplicaciones de Android (lista completa en el informe ThreatFabric).

La mayoría de estas páginas de inicio de sesión falsas tenían como objetivo interceptar credenciales para aplicaciones de banca electrónica, lo que respalda claramente su evaluación de que Alien estaba destinado al fraude.

Sin embargo, Alien también apuntó a otras aplicaciones, como aplicaciones de correo electrónico, redes sociales, mensajería instantánea y criptomonedas (es decir, Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp, etc.).

La mayoría de las aplicaciones bancarias dirigidas por los desarrolladores de Alien eran para instituciones financieras con sede principalmente en España, Turquía, Alemania, Estados Unidos, Italia, Francia, Polonia, Australia y el Reino Unido.


alien-trojan-countries.png

Imagen: ThreatFabric

ThreatFabric no incluyó detalles sobre cómo Alien llega a los dispositivos de los usuarios, principalmente porque esto varía en función de cómo los clientes de Alien MaaS (otros grupos criminales) eligieron distribuirlo.

“La mayoría parece distribuida a través de sitios de phishing, por ejemplo, una página maliciosa que engaña a las víctimas para que descarguen actualizaciones de software falsas o aplicaciones 'Corona' falsas (que sigue siendo un truco común en este momento)", dijo a ZDNet Gaetan van Diemen, analista de malware de ThreatFabric. .

"Otro método que se observa que se utiliza es el SMS, una vez que infectan un dispositivo, recopilan la lista de contactos que luego reutilizan para una mayor difusión de su campaña de malware", agregó.

Algunas aplicaciones maliciosas llegan a Play Store, de vez en cuando, pero la mayoría de las veces, se distribuyen a través de otros canales, dijo van Diemen.

Todas estas aplicaciones sospechosas contaminadas con Alien se pueden detectar fácilmente, ya que a menudo requieren que los usuarios les otorguen acceso a un usuario administrador o al servicio de accesibilidad.

Como puede parecer evidente un consejo "no instales aplicaciones de sitios sospechosos y otorgarles derechos de administrador", no todos los usuarios de Android son lo suficientemente técnicos para entenderlo, y muchos usuarios descargarán e instalarán aplicaciones desde cualquier ubicación, y luego simplemente haga clic en todas las indicaciones durante la instalación.

Así es como funciona el malware en general, dirigido a usuarios no técnicos y no a los "expertos". Y hay muchos de estos usuarios no técnicos, por lo que el malware de Android es un gran negocio en estos días en los foros de piratería.

Entonces ... no instales aplicaciones de sitios sospechosos y otorgarles derechos de administrador.

Etiquetado en: Alien Malware Android

Septiembre 24, 2020 10:04 AM
Fuente: zdnet.com - Catalin Cimpanu
Publicado por: Cecilia Coria