La unidad de investigación de SILIKN emitió una alerta por el troyano bancario para dispositivos Android denominado “Xenomorph”, que apareció en febrero de 2022 y que resurgió a principios de este año.
De acuerdo con Víctor Ruiz, fundador de SILIKN, el troyano retomó ataques, pero ahora con mayor fuerza, y haciéndose pasar por aplicaciones de servicios bancarios en todo el mundo, incluyendo México.
De acuerdo con el especialista, Xenomorph es un malware que se ha logrado colar en la tienda oficial de Google Play y, al día de hoy, tiene alrededor de 78,000 descargas e instalaciones a través de diversas apps.
“Pese a que Google ha tomado algunas medidas para reducir la cantidad de aplicaciones maliciosas en su tienda para dispositivos móviles, a menudo estos esfuerzos no son suficientes para evitar que los delincuentes lleguen a Google Play Store”, apuntó Ruiz.
En principio, se detectó que Xenomorph ataca a través de la app “Fast Cleaner”, la cual ofrece beneficios tales como acelerar el dispositivo eliminando los elementos no utilizados y permitiendo la optimización de la batería.
Esta aplicación parecía cumplir su función, por lo que se reportaron alrededor de 78,000 descargas.
No obstante, una vez dentro del dispositivo, este troyano puede tomar la forma de otras aplicaciones, entre ellas las de servicios bancarios, billeteras de criptomonedas o incluso, servicios de correo electrónico.
Te puede interesar: Alertan sobre nuevo malware que vacía cajeros automáticos
A la fecha se han encontrado capacidades en el troyano para suplantar las aplicaciones de más de 520 instituciones bancarias y financieras, incluidos varios servicios de criptomonedas.
Cabe mencionar que, aún y cuando Xenomorph sigue en etapa de desarrollo, ha demostrado ser de alta peligrosidad, ya que incluye las características mínimas requeridas en un troyano bancario moderno, enfocado al sistema operativo Android.
“Su vector de ataque principal es el robo de credenciales, combinadas con el uso de mensajes SMS e intercepción de notificaciones para registrar y usar tokens de doble factor de autenticación. Su motor está diseñado con un enfoque modular en mente. Contiene módulos para cada acción específica requerida por el bot y puede extenderse fácilmente para respaldar más funcionalidades.
“La capacidad de almacenamiento de Xenomorph es muy extensa, y puede enviar datos del registro de las teclas a sus operadores, además de recopilar datos del comportamiento de las víctimas y las aplicaciones instaladas”, explicó Ruiz.
El experto añadió que, al igual que muchos otros troyanos de banca Android, éste depende en gran medida del mecanismo de ataque de superposición para engañar a sus víctimas en la revelación de información de identificación personal.
En ese sentido, Ruiz apuntó que si el malware obtiene los privilegios de servicios de accesibilidad, que solicita insistentemente después de ejecutarse, “se le otorgan automáticamente todos los permisos que requiere y luego se despliega y activa silenciosamente en el dispositivo”.
Adicionalmente tiene capacidades para robar cookies y para completar automáticamente las transacciones fraudulentas en dispositivos infectados, una técnica llamada Sistema de transferencia automatizado (ATS) que también le permite iniciar la aplicación y extraer los códigos de la autenticación de doble factor que utilice el usuario.
“Con estas nuevas características, Xenomorph puede automatizar completamente toda la cadena de fraude, desde la infección hasta el robo de fondos, lo que lo convierte en uno de los troyanos de malware Android más avanzados y peligrosos de la actualidad”.
Recomendaciones:
A fin de evitar ser víctima de ciberdelincuentes, se recomienda a los usuarios ser cautelosos con las aplicaciones que instalan desde Google Play, así como mantener la cantidad de aplicaciones que se ejecutan en sus teléfonos, al mínimo posible, y sólo instalar aplicaciones de proveedores conocidos y confiables.
SILIKN hizo un llamado a los usuarios para que revisen sus aplicaciones y servicios bancarios de: BBVA México (Bancomer Móvil), BBVA Empresas México, HSBC México, Citibanamex Móvil, American Express México, ING México, Deutsche Bank Mobile México, Santander Móvil, así como billeteras de criptomonedas, como Binance y Coinbase.
er
