Troyano bancario BankBot vuelve a Google Play
La firma de seguridad ESET alerta de que ha sido detectado un juego en Google Play que infecta con malware los móviles Android. La aplicación se llama Jewels Star Classic y el virus que propaga es BankBot, un troyano bancario que fue descubierto a primeros de año.
El pasado mes de enero se filtró el código fuente de un malware bancario en un foro de hacking de la Deep Web. Más tarde, algunos criminales aprovecharon este código para crear una nueva amenaza más potente, con la finalidad de que el virus resultante pudiera eludir los controles de seguridad de Google Play, y así nació BankBot.
Los primeros ataques de este troyano bancario se detectaron en Rusia, pero a partir de febrero el modelo se exportó a los bancos de otros países. Más tarde, en abril fueron identificadas dos nuevas campañas de Bankbot en aplicaciones de Google Play con cepas más sofisticadas del virus que se dirigían a bancos presentes en España, entre ellos el Banco Santander o ING.
La nueva versión de este malware para Android está oculta en el juego Jewels Star Classic, cuyo nombre pretende asociarse con la popular saga Jewels Star con el objetivo de parecer legítimo.
El virus permanece oculto durante 20 minutos después de la primera ejecución de la aplicación, y transcurrido este tiempo se muestra una alerta que indica que es necesario activar Google Service para que las apps funcionen adecuadamente.
Este servicio no tiene nada que ver con Google, sino que utiliza este nombre para que el usuario no sospeche ante los permisos requeridos, que son observar las acciones del usuario, recuperar contenido de la ventana, activar Explore by Touch, activar la accesibilidad web mejorada y ejecutar acciones. En caso de conceder el permiso, la víctima le da libre acceso al troyano, que instalará y configurará el malware.
Una vez que BankBot está funcionando, roba los datos de la tarjeta de crédito del usuario mediante un sistema de superposición de ventanas, y además gestiona los SMS de manera clandestina para interceptar todos los mensajes de texto que lleguen al terminal.
Además de Jewels Star Classic, es posible que los atacantes estén utilizando otras apps para propagar este malware. Para comprobar si estás infectado con esta variante del troyano bancario sigue estos pasos:
- Busca la presencia de una app llamada Google Update en Ajustes > Aplicaciones > Administrador de aplicaciones > Google Update.
- Busca un administrador de dispositivo llamado System Update en Ajustes > Pantalla de bloqueo y seguridad > Otros ajustes de seguridad > Administrador de dispositivos.
Si encuentras alguna de estas apps, lo más seguro es que tu dispositvo esté infectado con BankBot. Para desinfectar tu móvil, deshabilita los derechos de administrador de System Update, desinstala Google Update y también Jewel Star Classic.