Falsa aplicación suplanta al navegador Chrome para instalar troyano bancario en Android

En el repaso habitual que hacemos de las aplicaciones maliciosas dirigidas a dispositivos Android, seguimos viendo cómo los delincuentes tratan de engañar a los usuarios de este sistema mediante apps fraudulentas que utilizan el nombre de reconocidas empresas, ya sean entidades bancarias o, como en este caso, un falso instalador del navegador Chrome.

Una app sospechosa

A la hora de propagar sus amenazas dirigidas a dispositivos Android, los delincuentes suelen elegir tácticas sobradamente conocidas pero que aún resultan muy efectivas. La mayoría intenta hacer pasar sus aplicaciones maliciosas por otras legítimas, usando para ello el nombre de empresas reconocidas para que los usuarios bajen la guardia. En esta ocasión y gracias al aviso del investigador MalwareHunterTeam, vemos como la app maliciosa se hace pasar por un instalador del conocido navegador de Internet Google Chrome. Este tipo de aplicaciones pueden utilizar enlaces incluidos en mensajes SMS o redirecciones desde sitios webs previamente comprometidos para realizar la descarga en el dispositivo de la víctima.

A la hora de descargar el instalador de esta aplicación maliciosa vemos que los delincuentes están utilizando el CDN, o red de entrega de contenido, de la conocida plataforma Discord. El uso de Discord para alojar malware es una tendencia que se viene observando desde hace tiempo y que utilizan muchos grupos de delincuentes para alojar todo tipo de amenazas porque, al tratarse de un servicio legítimo, es muy probable que no se encuentre en las listas negras usadas para bloquear la descarga de contenido potencialmente peligroso desde direcciones catalogadas como maliciosas.

Funcionamiento del malware

Al descargar y analizar esta app maliciosa, observamos varias cosas interesantes. Lo primero es que la última modificación se realizó apenas unas horas antes de que fuera detectada por primera vez, por lo que estaríamos ante una campaña de propagación de esta amenaza que se encontraría en su fase inicial. También el nombre del fichero, “chromeparaespana.apk”, apunta a que los objetivos de esta campaña son, principalmente, usuarios españoles de Android, por lo que estaríamos, una vez más, ante una campaña dirigida a usuarios de un país en concreto.

En lo que respecta a los permisos que solicita la aplicación, vemos como esta solicita durante su instalación el permiso de accesibilidad. Esto lo hemos visto en numerosas ocasiones anteriores para hacerse con el control del dispositivo, interceptar mensajes SMS con los códigos de verificación enviados por los bancos, enviar mensajes con enlaces maliciosos a otros teléfonos o permitir la superposición de pantallas, entre otras muchas acciones.

Si revisamos todos los permisos obtenidos por esta aplicación, observamos todas las acciones que puede realizar este malware, incluyendo algunas como las comentadas en el párrafo anterior que pueden repercutir muy negativamente en la cuenta bancaria de la víctima, ya que los delincuentes podrían hacer transferencias de dinero desde su cuenta sin mayores problemas.

A la hora de detectar y bloquear estas amenazas para evitar que causen daño, es importante contar con una solución de seguridad en nuestro dispositivo Android. Las soluciones de seguridad de ESET, por ejemplo, detectan el instalador de la app maliciosa como una variante del troyano Android/TrojanDropper.Agent.JIK, que, a su vez, extrae una variante del troyano Android/Spy.Banker.ASS.

Conclusión

A pesar de que los delincuentes están reutilizando técnicas sobradamente conocidas para propagar sus amenazas, estas siguen teniendo éxito, lo que demuestra que los usuarios de Android aún tienen que mejorar su concienciación en seguridad para aprender a reconocerlas, evitando instalar aplicaciones desde sitios no oficiales y analizándolas con soluciones de seguridad para evitar que su dispositivo quede infectado.

Josep Albors

5 Consejos para celebrar un San Valentín sin sobresaltos