Check Point Research ha descubierto seis aplicaciones que propagan malware bancario en la Play Store de Google, haciéndose pasar por soluciones antivirus. Conocido como ‘Sharkbot’, este tipo de ataque roba credenciales e información bancaria de los usuarios de Android.
Sharkbot es un malware que atrae a sus víctimas para que introduzcan sus credenciales en ventanas que imitan los formularios de inserción de credenciales. Cuando el usuario ingresa sus datos, la información comprometida se envía a un servidor malicioso.
Los investigadores han descubierto que los autores han implementado una función de geofencing que hace que no se ejecute el malware si los usuarios de dispositivos están en China, India, Rumanía, Rusia, Ucrania o Bielorrusia.
Cuatro de las solicitudes procedían de tres cuentas de desarrolladores: Zbynek Adamcik, Adelmio Pagnotto y Bingo Like. Al comprobar el historial de estas direcciones, Check Point Research ha detectado que dos de ellas estaban activas desde el otoño de 2021. Algunas de las aplicaciones vinculadas a las mismas se eliminaron de Google Play, pero siguen existiendo en mercados no oficiales. Esto podría significar que el ciberdelincuente que está detrás intenta pasar desapercibido mientras sigue participando en actividades maliciosas.
Los investigadores han recogido datos estadísticos durante una semana. A lo largo de este tiempo, han contado más de 1.000 IPs de víctimas, cifra que aumenta aproximadamente en 100 nuevas personas afectadas cada día. Según las estadísticas de Google Play, hay 11.000 descargas de las seis aplicaciones maliciosas detectadas.
El método que utilizan estos ataques es incluir al usuario para que conceda permisos de servicio de accesibilidad a la aplicación. Tras ello, el malware obtiene el control de gran parte del dispositivo de la víctima. Luego los ciberdelincuentes también pueden enviar notificaciones push a las víctimas con enlaces maliciosos.
Google ha tenido conocimiento de los hallazgos inmediatamente después de identificar estas aplicaciones que propagan Sharkbot y, después de examinarlas, se han eliminado permanentemente de Google Play.
Gery Coronel, Country Manager de Check Point para Chile, Argentina y Perú, entregó otros detalles sobre la investigación: “Hemos descubierto seis aplicaciones en la Play Store de Google que estaban propagando el malware Sharkbot que roba credenciales e información bancaria. El ciberdelincuente ha elegido estratégicamente las aplicaciones en Google Play porque gozan de la confianza de los usuarios. Lo que también es digno de mención aquí es que envían mensajes a las víctimas que contienen enlaces maliciosos, lo que conduce a una adopción generalizada”.
Desde Check Point recomendaron solo instalar aplicaciones de proveedores de confianza y verificados. Ante las aplicaciones de editores nuevos, se recomienda a los usuarios que busquen opciones similares con creadores certificados. Por último, ante cualquier aplicación aparentemente sospechosa en la Play Store, los usuarios deben informar a Google.
