26 de mayo de 2016

Los analistas de virus de la empresa Doctor Web constantemente registran los casos de difusión de varios troyanos bancarios destinados para infectar los dispositivos móviles bajo la administración del SO Android. Todos sabemos que los ciberdelincuentes frecuentemente intentan camuflar estas aplicaciones nocivas de programas útiles e inofensivos. Tampoco es una excepción el banker Android.BankBot.104.origin presentado por los creadores de virus a sus víctimas potenciales como un software para crackear los juegos para móvil populares, así mismo, como un programa para engañar a los usuarios de juegos.

El público objetivo de los ciberdelincuentes emprendedores que difunden los troyanos bancarios fueron los aficionados a los juegos para móviles que intentan obtener todo a la vez y enseguida sin pagar nada y sin esforzarse. En particular, cuando los usuarios intentan buscar la información sobre los engaños usados para jugar más fácilmente en sistemas de búsqueda populares – por ejemplo, tener la posibilidad de obtener mucho oro, cristales u otro tipo de divisa de juego, – o simplemente desean descargar una versión crackeada de su aplicación de juegos favorita, en los resultados, se les muestran a las víctimas potenciales los enlaces a múltiples sitios web de delincuentes creados a propósito para los aficionados a chollos.

Los portales web de los malintencionados contienen la información sobre más de 1000 distintos juegos populares, por lo tanto, en caso de buscar casi cualquier juego conocido, en las primeras líneas de los resultados de sistemas de búsqueda los usuarios sin falta verán las ofertas de malintencionados. Cabe destacar que estos sitios web tienen una firma digital válida, y, por lo tanto, muchas víctimas potenciales pueden considerarles seguros.

Al intentar descargar alguna aplicación desde estos portales web, el titular del dispositivo móvil se redirige a otro sitio web de estafa desde el cual, como si fuera una versión crackeada del software o un programa para engañar a los usuarios de juegos, se descarga el troyano bancario Android.BankBot.104.origin. Además de esta aplicación nociva, también pueden descargarse otros troyanos a smartphones y tabletas, en particular, los representantes de la familia de bankers Android.ZBot.

El troyano difundido por los malintencionados Android.BankBot.104.origin está protegido por un comprimidor especial que reduce la posibilidad de detección por los antivirus y dificulta el análisis. Una de sus últimas modificaciones se detecta por los productos antivirus Dr.Web para Android como Android.BankBot.72, pero los creadores de virus constantemente crean las nuevas versiones del banker comprimidas otra vez, por lo tanto, la aplicación nociva puede ser detectada con otro nombre. El mismo Android.BankBot.104.origin es una versión obfuscada del troyano bancario Android.BankBot.80.origin – su código está bien cifrado, lo que también sirve para dificultar el análisis y la detección por el software de protección.

Android.BankBot.104.origin se instala en smartphones y tabletas en Android con el nombre «NASK» y, una vez iniciado, intenta obtener acceso a las funciones del administrador del dispositivo. Luego el troyano borra su icono del listado de aplicaciones en la pantalla principal para que el usuario no se percate de nada.

Luego empieza con su actividad directamente nociva. En particular, intenta detectar si la víctima tiene conectado el servicio de la banca móvil, y si tiene alguna cuenta de dinero disponible. Para realizarlo, la aplicación nociva envía los mensajes SMS con comandos especiales a los números correspondientes de sistemas bancarios. Si Android.BankBot.104.origin detecta dinero, intenta transferirlo de forma oculta a las cuentas de los malintencionados.

Además, los ciberdelincuentes pueden administrar el banker a distancia. Así, por ejemplo, por comando del servidor administrativo el troyano puede activar el redireccionamiento de las llamadas al número indicado, ocultar al usuario los mensajes SMS entrantes e interceptar su contenido, enviar los mensajes SMS, realizar las solicitudes USSD, así como algunas otras acciones.

Los expertos de la empresa Doctor Web les recomiendan a los gamers no buscar las versiones crackeadas de juegos y aplicaciones para el SO Android y no instalar programas sospechosos en dispositivos móviles, porque un intento de ahorrar un poco de dinero puede causar la pérdida de todo el dinero de las cuentas bancarias. Los productos antivirus Dr.Web para Android detectan correctamente y borran las modificaciones conocidas de los troyanos mencionados, por lo tanto, los mismos no suponen peligro para nuestros usuarios.

Más información sobre el troyano