MysteryBot, nuevo malware bancario con funcionalidades avanzadas

Se ha descubierto un nuevo malware para Android que combina las funcionalidades de un troyano bancario, un keylogger y un ransomware. Es el primer malware bancario que es capaz de mostrar pantallas superpuestas y creíbles tanto en Android 7 y 8.

0

Ahora León / INCIBE

Se ha descubierto un nuevo malware para Android que combina las funcionalidades de un troyano bancario, un keylogger y un ransomware. Es el primer malware bancario que es capaz de mostrar pantallas superpuestas y creíbles tanto en Android 7 y 8.

Recursos afectados

Cualquier dispositivo Android puede verse afectado por este nuevo malware.

Solución

Si se detecta una infección del dispositivo sería necesario tomar medidas. Para ello, lo primero que hay que hacer es desinstalar la aplicación maliciosa y tras esto restaurar el teléfono a los valores de fábrica (se recomienda hacer una copia de seguridad de los datos: fotos, videos, música… antes de este proceso).

Para evitar caer en este tipo de problemas o engaños y acabar instalando en los dispositivos algo que no queremos, hay que tener en cuenta las siguientes recomendaciones:

  1. Comprobar quién es el desarrollador de la aplicación.
  2. Fijarse en el número de descargas de la app.
  3. Revisar permisos.
  4. Leer la descripción.

Sólo descargar aplicaciones de fuentes fiables.

Detalles

Este bot tiene la mayoría de las funcionalidades de troyanos genéricos de Android combinando la superposición de pantallas, keylogging y ransomware.

La superposición de pantalla es un permiso que permite a unas apps mostrarse por encima de otras aplicaciones. Al abrir una aplicación bancaria legítima, el malware se opera por encima mostrando una pantalla similar a la de la app legítima pero que envía los datos recabados al cibercriminal.

El malware incluye «superposición de pantallas» personalizadas para una gran cantidad de aplicaciones de bancos, entre ellos entidades de España y aplicaciones de mensajería instantánea como Facebook, WhatsApp y Viber.

Por ahora todas las versiones detectadas se han propagado a través de aplicaciones Flash Player falsas.

Aún no hay datos sobre los métodos de distribución de la aplicación, pero es posible que se realicen campañas de phishing debido a que se relaciona con un autor que sigue este “modus operandi”.

El malware es capaz de recabar datos sensibles del teléfono y cifrarlo por completo, además de realizar las superposiciones de pantallas que pueden suponer fraude bancario.

Artículo relacionadosMás del autor