¿Actualización de Chrome para Android? Cuidado con este troyano bancario

Uno de los puntos clave que determina si la propagación de una amenaza va a tener éxito es el gancho utilizado por los delincuentes. Durante los últimos meses hemos observado como la suplantación de empresas de logística ha tenido un considerable éxito en la propagación del troyano bancario FluBot y otras amenazas similares. Sin embargo, esto no significa que todos los delincuentes sigan el mismo camino, tal y como vamos a ver en el artículo de hoy.

Actualización de Chrome

La amenaza que vamos a analizar hoy es también un troyano bancario dirigido a dispositivos Android, pero en esta ocasión los delincuentes tratan de obtener nuevas víctimas usando como gancho una falsa actualización del navegador Chrome. Para ello, han preparado una web que muestra un mensaje de alerta y que indica que la versión actual del navegador no se encuentra actualizada, proporcionando un enlace para, supuestamente, actualizarla.

Si buscamos información acerca de la URL utilizada por los delincuentes en esta campaña, vemos que dicho dominio se registró hace unos días, lo que confirmaría su utilización exclusiva para propagar esta amenaza. Vemos como, de nuevo, los delincuentes utilizan un dominio .xyz, algo bastante frecuente a la hora de propagar malware, por lo que si nos encontramos con algún enlace que nos redirija a uno de estos dominios en el futuro, deberíamos ir con cuidado.

Además, a la hora de preparar una web maliciosa como esta, los delincuentes ya suelen incorporar un certificado de seguridad para que el usuario que acceda a ella piense que es segura. Recordemos que este certificado (mostrado normalmente mediante un candado en la barra del navegador) garantiza que la comunicación entre nuestro dispositivo y la web es segura, no que esta lo sea.

Descarga y ejecución del malware

Si el mensaje de alerta mostrado consigue su objetivo de asustar al usuario y provocar que este descargue la supuesta actualización, lo que se descargará es un instalador APK para dispositivos Android con el sugerente nombre “Chrome.apk”.

Al tratarse de una aplicación descargada desde fuera de un repositorio oficial como Google Play, el instalador no se ejecutará automáticamente y requerirá que el usuario permita la ejecución de aplicaciones descargadas desde fuentes desconocidas, algo que viene desactivado por defecto desde hace ya varias versiones de Android. Aun así, sigue habiendo usuarios que permitirán la ejecución de este tipo de aplicaciones y tampoco tendrán problema a la hora de concederle todo tipo de permisos. Al final, lo único que conseguirán, además de infectar su dispositivo, es que se muestre el siguiente mensaje de error.

En lo que respecta a los permisos que obtiene esta aplicación maliciosa una vez instalada, observamos como consigue algunos que le permiten, entre otras cosas, acceder a la lista de contactos y enviar mensajes (lo que permite seguir propagándose), interceptar y leer SMS (algo usado por los troyanos bancarios para capturar los códigos de verificación solicitados a la hora de realizar transferencias bancarias) o incluso la posibilidad de realizar llamadas o grabar audio (útil a la hora de espiar conversaciones realizadas por la víctima).

Este tipo de aplicaciones maliciosas suelen estar relacionadas desde hace algunos meses con variantes de los troyanos bancarios Cerberus o Alien, y son varios los criminales que crean sus amenazas basándose en el código de estos malware. De hecho, durante las últimas horas hemos visto otra amenaza prácticamente idéntica camuflada como falsa aplicación de Correos, tal y como ha alertado el investigador MalwareHunterTeam y ha confirmado el también investigador Alberto Segura.

Conclusión

Hace tiempo que estamos viviendo un auge de los troyanos bancarios tanto en sistemas de escritorio como en dispositivos móviles, provocado seguramente por el aumento del uso de la banca online causado por la situación sanitaria. Por ese motivo es importante evitar descargar aplicaciones desde webs que no sean de confianza e instalar una solución de seguridad adecuada para nuestro dispositivo que sea capaz de detectar y eliminar estas amenazas.

Josep Albors

¿TU EMPRESA ESTÁ PREPARADA PARA UN CIBERATAQUE?