- El 62% de las víctimas están en Italia, el 36% en el Reino Unido y el 2% en otros países
- Los ciberdelincuentes implementaron la función de geofencing, que ignora a los usuarios de dispositivos en China, India, Rumanía, Rusia, Ucrania y Bielorrusia
- Check Point Research ha comunicado los resultados a Google que ha eliminado este tipo de aplicaciones
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha descubierto seis aplicaciones que propagan malware bancario en la Play Store de Google haciéndose pasar por soluciones antivirus. Conocido como ‘Sharkbot’ este tipo de ataque roba credenciales e información bancaria de los usuarios de Android. Se trata de un malware que atrae a sus víctimas para que introduzcan sus credenciales en ventanas que imitan los formularios de inserción de credenciales. Cuando el usuario ingresa sus datos, la información comprometida se envía a un servidor malicioso. Asimismo, los investigadores han descubierto que los autores han implementado una función de geofencing que hace que no se ejecute el malware si los usuarios de dispositivos están en China, India, Rumanía, Rusia, Ucrania o Bielorrusia.
Las seis aplicaciones maliciosas
Cuatro de las solicitudes procedían de tres cuentas de desarrolladores, Zbynek Adamcik, Adelmio Pagnotto y Bingo Like Inc. Al comprobar el historial de estas direcciones, Check Point Research ha detectado que dos de ellas estaban activas desde el otoño de 2021. Algunas de las aplicaciones vinculadas a las mismas se eliminaron de Google Play, pero siguen existiendo en mercados no oficiales. Esto podría significar que el ciberdelincuente que está detrás intenta pasar desapercibido mientras sigue participando en actividades maliciosas.
Los investigadores han recogido datos estadísticos durante una semana. A lo largo de este tiempo, han contado más de 1.000 IPs de víctimas, cifra que aumenta aproximadamente en 100 nuevas personas afectadas cada día. Según las estadísticas de Google Play, hay 11.000 descargas de las seis aplicaciones maliciosas detectadas.
Metodología de ataque
1. Incluir al usuario para que conceda permisos de servicio de accesibilidad a la aplicación.
2. Tras ello, el malware obtiene el control de gran parte del dispositivo de la víctima.
3. Los ciberdelincuentes también pueden enviar notificaciones push a las víctimas con enlaces maliciosos.
No hay pruebas suficientes para hacer una atribución, aunque, se puede deducir que los autores del malware hablan ruso. Google ha tenido conocimiento de los hallazgos inmediatamente después de identificar estas aplicaciones que propagan Sharkbot y, después de examinarlas, se han eliminado permanentemente de Google Play. El mismo día en que Check Point Research informó de los descubrimientos a Google, el grupo NCC publicó una investigación independiente sobre Sharkbot, mencionando una de las aplicaciones maliciosas.
“Hemos descubierto seis aplicaciones en la Play Store de Google que estaban propagando el malware Sharkbot que roba credenciales e información bancaria. Si observamos el número de descargas podemos suponer que los responsables de la amenaza dieron en el blanco con su método de propagación del malware. El ciberdelincuente ha elegido estratégicamente las aplicaciones en Google Play porque gozan de la confianza de los usuarios. Lo que también es digno de mención aquí es que envían mensajes a las víctimas que contienen enlaces maliciosos, lo que conduce a una adopción generalizada. En definitiva, el uso de mensajes push por parte de los atacantes para solicitar una respuesta de los usuarios es una técnica de propagación inusual. Creo que es importante que todos los usuarios de Android sepan que deben pensar dos veces antes de descargar cualquier solución antivirus de la Play Store. Podría ser Sharkbot”, advierte Gery Coronel, Country Manager de Check Point para Chile, Argentina y Perú.
Consejos de seguridad para usuarios de Android
1. Instalar aplicaciones sólo de proveedores de confianza y verificados.
2. Al ver una aplicación de un editor nuevo, hay que buscar análogos de uno de confianza.
3. Informa a Google de cualquier aplicación aparentemente sospechosa que se encuentre.
Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.
Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas corporativas y gobiernos a nivel mundial. La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de quinta generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Check Point Infinity se compone de tres pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente la nube; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva del sector. Check Point Software protege a más de 100.000 empresas de todos los tamaños.
©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.
Equipo Prensa
Portal Innova