Ha vuelto dispuesto a robar tu dinero: Este virus ataca los móviles y bancos de España
El malware Xenomorph es un virus que ha llegado hace un tiempo a móviles Android para robar los datos de nuevas posibles víctimas y quedarse con su dinero. En su primera versión de febrero del año pasado apuntaba a 56 bancos europeos usando ataques de superposición y abusando de los permisos de los servicios de accesibilidad para interceptar notificaciones y robar códigos de un solo uso.
Ahora, ha lanzado una nueva versión con más capacidades para robar credenciales de más de 400 bancos, muchos de ellos españoles. Cuidado con él porque sigue actuando, ha mejorado y es cada vez más peligroso.
Sus creadores han continuado el desarrollo del malware desde entonces, aunque las versiones más recientes hasta ahora no se distribuyeron en grandes volúmenes, quizá a modo de prueba. La segunda versión destacó por su revisión completa del código, pero ahora es mucho más maduro y capaz que las versiones anteriores.
Su nueva versión te roba el dinero automáticamente
La tercera versión de Xenomorph puede robar datos automáticamente, incluidos saldos de cuentas y credenciales. Incluso es capaz de hacer transacciones bancarias y transferencias de fondos. Con estas nuevas características, puede automatizar completo todas sus funciones para agilizarlas. Se ha convertido en uno de los malware para móviles Android más avanzados y peligrosos.
Actualmente, se distribuye por medio de la plataforma Zombinder en la tienda de Google Play, que ya a finales del año pasado se camuflaba bajo apps para conseguir WiFi para robarte la contraseña Android. En esta ocasión, se hace pasar por un conversor de moneda y cambia para utilizar un icono de Play Protect después de instalar la carga maliciosa. Como los actores detrás de Zombinder han afirmado haber dejado de brindar el servicio, podría llegar de otras formas que todavía desconocemos. Lo que sabemos hasta ahora es que la app se llama CoinCalc (com.samruston.flip).
Una de sus mejoras es que ahora es capaz de obtener credenciales automáticamente y hacer todas las acciones sin realizar acciones remotas. Puede obtener cookies, enviar SMS y hacer otras funciones que antes no le eran posibles.
El operador envía scripts JSON que Xenomorph convierte en una lista de operaciones y las ejecuta de forma autónoma en el dispositivo infectado. Cuenta con muchas posibles acciones y es muy peligroso si llegas a instalarlo porque ahora están superando todas las barreras para quedarse con el dinero de sus víctimas.
Sus objetivos son más de 400 entidades bancarias, muchas de ellas de España. También de Turquía, Polonia, Estados Unidos, Australia, Canadá, Italia, Portugal, Francia, Alemania, Emiratos Árabes Unidos e India. Entre estas entidades nos encontramos con Banco Santander, BBVA, Caixabank Openbank, Deutsche Bank, ING, ABANCA, Banco Mediolanum España y otras. También apunta a billeteras de criptomonedas como Binance, Coinbase, Gemini y otras conocidas. Los nombres de las apps son los mismos que los de las originales, lo que lo convierte todavía en más peligroso.
Por eso mismo, es muy importante que tengas cuidado con las aplicaciones que instalas, no descargues ninguna app fuera de Google Play, lee muy bien las reseñas y comprueba la información sobre su desarrollador. No instales nada si no tienes completa confianza de que es legítimo. No está de más que tengas un buen antivirus y aproveches para hacer limpieza con las apps que no necesitas.