El troyano Schoolyard Bully, que está activo desde 2018, se ha convertido en una potencial amenaza para los usuarios con dispositivos Android. Así lo alertó la empresa de seguridad móvil Zimperium.
En el informe la compañía reveló que actualmente existe una campaña con este troyano, el cual ha logrado infectar a por lo menos 300.000 equipos en más de 70 países (incluido Colombia) y su intención principal es robar las credenciales de los usuarios que hacen parte de la red social más grande del mundo con casi 3.000 usuarios: Facebook.
Los investigadores también explicaron que este malware se ha encontrado en numerosas aplicaciones descargadas de Google Play Store y tiendas de aplicaciones de terceros: se camuflan como apps educativas legítimas con una amplia gama de libros y temas para que lean sus víctimas.
Lea además: ¿Quiere cambiar de operador móvil sin perder su número?
Lo que puede lograr este troyano es obtener accesos no autorizados a las credenciales. Es decir, robar información sensible que usted tenga en Facebook como el correo electrónico, el número de teléfono, el usuario y la contraseña. Y eso no es todo: también tiene la capacidad de saber datos del dispositivo como el nombre, la API y la RAM.
¿Cómo funciona?
El malware abre la URL legítima dentro de un WebView con el javascript malicioso inyectado para extraer el número de teléfono, la dirección de correo electrónico y la contraseña del usuario, luego lo envía al Firebase C&C configurado.
Además, utiliza bibliotecas nativas para ocultarse de la mayoría de las detecciones de virus antivirus y de aprendizaje automático.
Conozca: La aplicación que llega a revolucionar el transporte universitario en Colombia
Finalmente, el informe de Zimperium indicó que aunque estas aplicaciones ahora se han eliminado de Google Play Store, todavía están disponibles en las tiendas de aplicaciones de terceros esperando para atacar a su próxima víctima estudiantil.
Falsas apps de VPN
El equipo de investigación de la empresa de seguridad informática Eset prendió las alarmas sobre otra campaña en curso dirigida también a los usuarios de Android y que lleva adelante el grupo de APT Bahamut.
Según la información compartida, está activa desde enero de 2022 distribuyendo aplicaciones maliciosas a través de un sitio web falso de SecureVPN que ofrece descargas apps de Android. Aunque el malware empleado a lo largo de esta campaña utiliza el nombre SecureVPN, no tiene asociación alguna con el servicio y el software multiplataforma legítimo SecureVPN.
Entre los hallazgos clave se encontró que el objetivo principal es extraer datos confidenciales de la víctima y espiar activamente las aplicaciones de mensajería que utiliza.
Le puede interesar: ¿Los agentes virtuales reemplazarán al humano en atención a usuarios?
El equipo de Eset además descubrió que existen por lo menos ocho versiones del spyware Bahamut. “El malware se distribuye a través de un sitio web falso de SecureVPN bajo la forma de versiones troyanizadas de dos aplicaciones legítimas: SoftVPN y OpenVPN”. Estas aplicaciones maliciosas nunca estuvieron disponibles para descargar desde Google Play.
El malware tiene la capacidad de robar datos confidenciales del equipo de la víctima como la lista de contactos, mensajes SMS, registros de llamadas, ubicación del dispositivo y llamadas telefónicas grabadas. También es capaz de espiar activamente los mensajes de chat intercambiados a través de aplicaciones de mensajería como Signal, Viber, WhatsApp, Telegram y Facebook Messenger.
La exfiltración de datos (copia de datos) se realiza a través de la funcionalidad de keylogging del malware, que hace un uso malintencionado de los servicios de accesibilidad.
¿Cómo cuidarse?
Para saber cómo proteger su teléfono y sus cuentas de redes sociales, la firma Fortinet compartió algunos consejos esenciales de seguridad:
1- Crear una contraseña fuerte: es necesario asegurarse de no utilizar la misma contraseña para todas las plataformas. Es posible usar un administrador de contraseñas para guardar todas las contraseñas de las diferentes cuentas. Utilizar caracteres aleatorios y no utilizar el mismo ID de usuario, también es recomendable.
2- Mantener las cuentas monitoreadas: es importante actualizar de manera constante nuestras credenciales de acceso, y revisar nuestras cuentas de pago para así poder detectar a tiempo cualquier actividad inusual.
3- Inspeccionar las tarjetas de regalo: al comprar una tarjeta de regalo en cualquier tienda, es importante inspeccionarla visualmente para detectar cualquier signo de manipulación antes de cargar fondos y apegarnos a proveedores que sabemos que mantienen sus tarjetas aseguradas detrás del mostrador.
4- No hacer compras por correo electrónico: no acceder a pagar cualquier compra virtual utilizando tarjetas de regalo cuando la solicitud se haga por correo electrónico, ya que en estos casos el objeto que estamos tratando de “comprar”, probablemente no exista. Por eso es importante atenernos a proveedores que conocemos y confiamos, y confirmar que el sitio para procesar pagos es seguro. Las tarjetas de crédito son el mejor medio para pagar ya que la mayoría cuenta con protección contra fraudes en algún nivel.
Gracias por valorar La Opinión Digital. Suscríbete y disfruta de todos los contenidos y beneficios en http://bit.ly/SuscripcionesLaOpinion