El troyano bancario Android Marcher combina 3 amenazas en 1 esquema


El troyano de banca Android Marcher , que fue descubierto por los investigadores de la firma de seguridad holandesa Securify y logró infectar miles de dispositivos a través de una botnet única para robar tarjetas de pago mediante la explotación de la biblioteca AndroidProcesses. El mismo malware que, según los informes, estaba activo desde 2013 ha vuelto y es mucho más amenazador que nunca.

De acuerdo con los investigadores de seguridad cibernética de Proofpoint, la nueva campaña de Marcher incluye tres amenazas a la seguridad llamadas phishing , troyanos bancarios y robo de tarjetas de crédito en una única campaña diseñada de forma integral. Este esquema de varios pasos está dirigido principalmente a los clientes del Banco de Austria, mientras que los usuarios o dispositivos Android están en riesgo . Hasta ahora, al menos 20,000 usuarios se han visto afectados por esta nueva campaña.

Lo que lo hace único es el hecho de que los hackers han adoptado un enfoque no convencional combinando tres técnicas en una sola.

Los investigadores de Proofpoint escribieron en su publicación de blog que la campaña está activa desde enero; en la campaña de malware Marcher anterior , el código malicioso se distribuía a través de SMS, pero en este esquema, el enlace que conduce al malware se envía a través de un correo electrónico de phishing. Como el enlace se ha acortado, por lo tanto, es bastante difícil de detectar.

Además, los atacantes han creado una réplica de la interfaz de usuario del banco objetivo, diseñado un ícono de aspecto auténtico para la aplicación para que parezca legítimo y de alguna manera adquiera dominios de alto nivel, como .gdn, para engañar a los usuarios por completo.

Cuando el usuario hace clic en el enlace, se le dirige a un sitio de suplantación de identidad del banco utilizado por la víctima donde se solicita que se ingresen las credenciales bancarias junto con el número de teléfono y la dirección de correo electrónico. Luego se le pide a la víctima que descargue una aplicación falsa titulada Aplicación de Seguridad de Bank Austria. Parece ser una aplicación bancaria oficial, y luego se le pide a la víctima todas las aplicaciones de fuentes Desconocidas después de modificar la configuración de seguridad del dispositivo. Luego adquiere los privilegios de Administrador del dispositivo.

Se advierte a la víctima sobre el bloqueo de la cuenta en caso de que la aplicación no esté instalada. Alrededor del 7% de los visitantes ya han descargado esta aplicación, que es responsable de eliminar el troyano bancario Marcher.

Después de la instalación, Marcher solicita varios permisos y obtiene los siguientes privilegios excesivos: Leer/ Escribir datos en un dispositivo de almacenamiento externo, Acceso a la ubicación, Leer/Escribir/Enviar SMS, iniciar llamada telefónica sin usar la interfaz de usuario del Marcador, acceder a Contactos, obtener el dispositivo Bloqueado en cualquier momento, modifique el estado de conectividad de Wi-Fi. Vale la pena señalar que el malware puede hacer llamadas y mensajes SMS, lo que costaría al usuario.

Cuando se adquieren las credenciales bancarias, la identificación del correo electrónico, los datos del teléfono y otra información, el malware le pide a la víctima que proporcione el número de la tarjeta de crédito tan pronto como se abra Google Play Store o cualquier otra aplicación. Así es como el malware logró robar todo tipo de datos financieros de la víctima.

Los investigadores de Proofpoint escribieron en su blog que los usuarios de computadoras y teléfonos móviles deben tener cuidado al instalar aplicaciones de plataformas de terceros y solo deben preferir “tiendas y fuentes de aplicaciones legítimas”. Además, los usuarios deben desconfiar de los sitios web bancarios falsos que piden información excesiva que un banco normalmente pediría o necesitaría. Además, comience a usar un producto  confiable de seguridad móvil antes de que sea demasiado tarde.

Vía |hackread

log in

reset password

Back to
log in