ISGroup Consultoría de Ciberseguridad

Malware Android DroidBot: en el punto de mira aplicaciones bancarias y cripto mediante el abuso de los Servicios de Accesibilidad

DroidBot es un nuevo malware bancario para Android identificado por primera vez en junio de 2024. Operando como malware-as-a-service (MaaS), ataca a más de 77 aplicaciones bancarias y de criptomonedas en toda Europa, mostrando señales de expansión hacia otras áreas geográficas. El malware aprovecha los Servicios de Accesibilidad de Android, lo que permite a los atacantes robar credenciales, manipular el dispositivo y controlarlo de forma remota.

Fecha2024-12-05 09:49:13
Información
  • Explotación activa

Resumen técnico

DroidBot es un malware sofisticado para Android distribuido a través de plataformas MaaS a un costo de $3,000 al mes. Es utilizado por al menos 17 grupos afiliados de actores de amenazas, cada uno de los cuales personaliza los payloads para atacar aplicaciones y regiones específicas. El malware a menudo se disfraza de aplicaciones legítimas como Google Chrome, Google Play o Android Security. Sus funcionalidades principales incluyen:

  • Keylogging: intercepta todas las teclas pulsadas por el usuario.
  • Overlaying: muestra pantallas de inicio de sesión falsas sobre las interfaces de aplicaciones bancarias y cripto legítimas para recopilar credenciales.
  • Intercepción de SMS: intercepta mensajes SMS, especialmente aquellos que contienen contraseñas de un solo uso (OTP).
  • Control remoto: incluye un módulo VNC (Virtual Network Computing) que permite a los atacantes manipular el dispositivo de forma remota.

El uso de los Servicios de Accesibilidad por parte de DroidBot le permite monitorear la actividad del usuario, simular interacciones y ocultar su presencia oscureciendo la pantalla del dispositivo.

Recomendaciones

Para protegerse contra DroidBot:

  1. Buenas prácticas para la instalación de aplicaciones:

    • Descargar aplicaciones solo de fuentes confiables, como Google Play.
    • Verificar los desarrolladores de las aplicaciones y analizar cuidadosamente las reseñas antes de descargarlas.

  2. Conciencia sobre los permisos:

    • Denegar solicitudes de permisos innecesarios o sospechosos, especialmente el acceso a los Servicios de Accesibilidad.
    • Reevaluar los permisos otorgados a las aplicaciones instaladas a través de la configuración del dispositivo.

  3. Activación de funciones de seguridad:

    • Habilitar Google Play Protect para realizar escaneos y bloquear aplicaciones maliciosas.
    • Mantener actualizado el sistema operativo Android y todas las aplicaciones para corregir posibles vulnerabilidades.

  4. Monitoreo y respuesta:

    • Prestar atención a signos de actividad no autorizada, como aplicaciones que solicitan nuevos permisos o comportamientos anómalos del dispositivo.
    • Desinstalar inmediatamente las aplicaciones sospechosas y restablecer las credenciales de las cuentas potencialmente comprometidas.

  5. Aplicar controles corporativos (para organizaciones):

    • Utilizar soluciones de Gestión de Dispositivos Móviles (MDM) para limitar la instalación de aplicaciones.
    • Capacitar a los empleados sobre los riesgos de phishing y malware en dispositivos móviles.

[Callforaction-THREAT-Footer]

In