Google ha eliminado dos nuevas apps maliciosas detectadas en la Play Store, una de las cuales fue usada para hacerse pasar por una app de estilo de vida y otra de seguimiento de gastos, cuando lo que en realidad hacían era distribuir el malware bancario Xenomorph.
Pese a que solo se trata de dos aplicaciones, no son ninguna broma porque podrían hacerse con datos importantes como las contraseñas del banco con todas las consecuencias que esto te supone. Si las has instalado, podrían afectarte sin que te hayas dado cuenta, por eso te decimos cuáles son y cómo actúan. Si tienes alguna desinstálala inmediatamente de tu móvil.
Estas apps roban tus datos bancarios
Según el análisis de los investigadores Himanshu Sharma y Viral Gandhi publicado, se confirma que Xenomorph es un troyano que roba credenciales de apps bancarias en los dispositivos de sus usuarios. Además, puede interceptar SMS y notificaciones de las personas que han sido afectadas para robar contraseñas de un solo uso y solicitudes de autentificación de múltiples factores, lo que es un gran peligro.
Una de las apps era de estilo de vida y la otra se hacía pasar por un servicio de seguimiento de gastos. En ambas, el comportamiento es similar al descrito. Las dos aplicaciones habían sido creadas robar tus datos bancarios, pero en esta última no se ha podido extraer la URL utilizada para ver de dónde venía el malware.
Ninguna de ellas sigue en la tienda de aplicaciones de Google, aunque no está de más que compruebes si la tienes o alguien que conoces la ha instalado.
Las dos aplicaciones maliciosas son estas:
- Todo: Day manager (com.todo.daymanager) – Más de 1000 descargas
- 経費キーパー (com.setprice.expenses) – Más de 1000 descargas
Así funcionan las apps, que ya no están en Play Store
Ambas aplicaciones funcionan como cuentagotas, lo que quiere decir que de por sí son inofensivas, pero se utilizan para recuperar la carga real, que en el primer caso se aloja en GitHub y en el segundo no se ha podido conocer a dónde iba a parar.
Se sabe que Xenomorph se ha documentado por primera vez por ThreatFabric a principios de febrero de este mismo año. Este troyano abusa de los permisos de accesibilidad de Android para realizar ataques superpuestos, en los que se presentan pantallas de inicio de sesión falsas sobre apps bancarias legítimas para robar las credenciales de sus víctimas.
Si caes en la trampa, pueden hacerse con tus datos bancarios y robarte dinero, entre muchas otras cosas. Además, el malware aprovecha la descripción de un canal de Telegram para decodificar y construir el dominio de comando y control (C2) usado para recibir comandos adicionales.
Este descubrimiento se ha hecho tras haber detectado otras 4 apps no autorizadas en Google Play dirigiendo a sus víctimas a webs maliciosas. Son estas, por si no te has enterado todavía.
- Bluetooth App Sender (com.bluetooth.share.app)
- Bluetooth Auto Connect (com.bluetooth.autoconnect.anybtdevices)
- Driver: Bluetooth, Wi-Fi, USB (com.driver.finder.bluetooth.wifi.usb)
- Mobile transfer: smart switch (com.mobile.faster.transfer.smart.switch)
Finalmente, Google ha eliminado las apps de su tienda y prohibido al desarrollador. No está de más que compruebes si tienes alguna de las apps que te hemos comentado y extremes la seguridad en tu móvil con un buen antivirus. Además, ten mucho cuidado con lo que instalas. Tu teléfono se encuentra más expuesto a peligros de lo que imaginas.