Google eliminó dos nuevas aplicaciones de cuentagotas maliciosas que se detectaron en Play Store para Android, una de las cuales se hizo pasar por una aplicación de estilo de vida y fue atrapada distribuyendo el malware bancario Xenomorph.
«Xenomorph es un troyano que roba credenciales de aplicaciones bancarias en los dispositivos de los usuarios», dijeron los investigadores de Zscaler ThreatLabz, Himanshu Sharma y Viral Gandhi , en un análisis publicado el jueves.
«También es capaz de interceptar los mensajes SMS y las notificaciones de los usuarios, lo que le permite robar contraseñas de un solo uso y solicitudes de autenticación de múltiples factores».
La firma de ciberseguridad dijo que también encontró una aplicación de seguimiento de gastos que mostraba un comportamiento similar, pero señaló que no podía extraer la URL utilizada para obtener el artefacto de malware.
Las dos aplicaciones maliciosas son las siguientes:
- Todo: administrador del día (com.todo.daymanager)
- 経費キーパー (com.setprice.expenses)
Ambas aplicaciones funcionan como cuentagotas, lo que significa que las aplicaciones en sí mismas son inofensivas y son un conducto para recuperar la carga real que, en el caso de Todo, está alojada en GitHub.
Se sabe que Xenomorph, documentado por primera vez por ThreatFabric a principios de febrero, abusa de los permisos de accesibilidad de Android para realizar ataques superpuestos, en los que se presentan pantallas de inicio de sesión falsas sobre aplicaciones bancarias legítimas para robar las credenciales de la víctima.
Además, el malware aprovecha la descripción de un canal de Telegram para decodificar y construir el dominio de comando y control (C2) que se usa para recibir comandos adicionales.
El desarrollo sigue al descubrimiento de cuatro aplicaciones no autorizadas en Google Play que se encontraron dirigiendo a las víctimas a sitios web maliciosos como parte de una campaña de adware y robo de información. Google le dijo a The Hacker News que desde entonces prohibió al desarrollador.
