El virus Zombinder ataca en Android para robar las contraseñas guardadas en Google
El nuevo malware Zombinder ha llegado a Android, según han descubierto los equipos de ciberseguridad que aseguran que este malware se adhiere a apps móviles de Android legítimas para robar credenciales de Google de sus víctimas.
Es importante que prestes atención a todo mientras usas tu móvil porque el malware puede ‘colarse’ cuando menos lo imaginas y robarte la contraseña que puedes usar para ver y guardar tus fotos, gestionar tu correo electrónico, utilizar ciertos servicios y muchos usos más. Podrían usarla para perjudicarte a ti y a otros usuarios de muchas maneras.
Este nuevo malware ejecuta un registrador de teclas para recoger las contraseñas que utilizas en tu teléfono. Pero eso no es lo peor, sino que han logrado incluir malware en APK legítimos inyectando virus o carga útil en el móvil mientras instalas lo que aparentemente es una app legítima.
Esto quiere decir que podrías haberte infectado sin darte cuenta porque, al funcionar las aplicaciones que has instalado, no tendrás sospechas a menos que detectes algo raro. Y probablemente no te hayas dado cuenta ni hayas llegado a imaginarte que has instalado una app con malware en ningún momento.
Qué es y cómo funciona este malware, Zombinder
El virus Zombinder salió a la luz por primera vez cuando ThreatFabric estaba investigando un troyano basado en el malware Ermac en ordenadores y dispositivos Android. Los investigadores descubrieron que los ciberdelincuentes estaban usando un servicio de terceros, Zombinder, que funcionaba a modo de pegamento para vincular las capacidades del cuentagotas de malware a la app legítima.
La app legítima modificada se descarga desde una web maliciosa imitando a la web original de la app, a la que normalmente se llega por medio de publicidad maliciosa. Una vez descargada, la aplicación, ahora vinculada al malware, funciona como se espera hasta que aparece un mensaje de actualización.
El cargador está ofuscado para evadir la detección, por lo que cuando el usuario inicia la app, mostrará un aviso para instalar un complemento. Si se acepta el aviso, se instalará una carga útil maliciosa y ejecutará en segundo plano. El proveedor de servicios de Zombinder afirma que los paquetes de aplicaciones maliciosos creados con él son indetectables en tiempo de ejecución y pueden pasar por alto las alertas de Google Protect o los antivirus.
Este virus ha llegado a dispositivos Android y es extremadamente peligroso. El problema llega cuando aceptas la posible actualización de la app aparentemente legítima. Si lo haces, los hackers podrán acceder a tus mensajes de Gmail, códigos de autentificación de dos factores y mucho más. Pueden tener información sobre tu contraseña e información confidencial que escribas.
¿En qué apps nos lo podemos encontrar?
El malware Zombinder por ahora afecta a apps bancarias en países como España, entre otros, o aplicaciones para encontrar puntos WiFi, pero podría llegar a muchas más aplicaciones por su facilidad de instalación. Se ha llegado a ver una app de transmisión en directo de fútbol e incluso una versión modificada de la app de Instagram. Los nombres son los mismos que los de las apps legítimas, lo que lo hace todavía más peligroso.
Por ejemplo, han descubierto que una campaña de malware estaba distribuyendo el troyano bancario Xenomorph bajo la apariencia de la aplicación VidMate. Algunas apps maliciosas que pueden simular son las Unicaja móvil, BBVA España, ABANCA, ING, CajaSur. Bankinter móvil, Openbank, Banco Mediolanum España, EVO Banco móvil y otras. Puedes ver algunas de estas apps, ya que la lista puede crecer, aquí.
La única forma de combatirlo es evitar instalar apps en Android fuera de la tienda de aplicaciones Google Play Store y desconfiar de lo que puede parecer sospechoso. Si vas a hacerlo desde una web, comprueba que realmente es la original del servicio, y si no la conoces no lo hagas.
Si has instalado alguna de estas apps y te das cuenta a tiempo, o tienes dudas, no aceptes ningún mensaje que te llegue desde ella y desinstálala inmediatamente.