Ha surgido una nueva y sofisticada campaña de malware de Android dirigida a clientes bancarios indios a través de suplantaciones convincentes de aplicaciones financieras populares.
El software malicioso se disfraza de aplicaciones legítimas de las principales instituciones financieras indias, incluidas SBI Card, Axis Bank, Indusind Bank, ICICI y Kotak, engañando a los usuarios para descargar aplicaciones falsas que roban información financiera confidencial.
El malware opera a través de sitios web de phishing cuidadosamente diseñados que replican de cerca los portales bancarios oficiales, incorporando elementos visuales auténticos y marcas para establecer credibilidad.
Sitio web de Phishing (Fuente – McAfee)
Estos sitios fraudulentos cuentan con los botones destacados de “Aplicación” y “Descargar” que incorporan a los usuarios desprevenidos a instalar archivos APK maliciosos disfrazados de aplicaciones bancarias oficiales.
La campaña se dirige específicamente a los usuarios de habla hindi en toda la India, aprovechando la familiaridad cultural y lingüística para mejorar su efectividad engañosa.
Investigadores de McAfee identificado Esta amenaza es particularmente peligrosa debido a su arquitectura de doble propósito que combina el fraude bancario tradicional con capacidades mineras de criptomonedas.
El malware no solo recolecta datos personales y financieros, sino que también mina silenciosamente la criptomoneda de Monero en dispositivos infectados, maximizando las ganancias financieras de los atacantes de cada dispositivo comprometido.
Lo que distingue esta campaña de los troyanos bancarios convencionales es sus sofisticados mecanismos de evasión y capacidades de activación remota.
Tras la instalación, el malware presenta a los usuarios una interfaz falsa de Google Play Store que sugiere que se requiere una actualización de una aplicación.
Pantalla inicial que se muestra por la aplicación Dropper (Fuente – McAfee)
Esta táctica engañosa genera confianza del usuario, mientras que el malware prepara su carga útil maliciosa.
Mecanismo avanzado de entrega y ejecución de carga útil
El malware emplea un sofisticado sistema de entrega de carga útil de dos etapas diseñado para evadir el análisis y la detección estática.
Inicialmente funcionando como un gotero, la aplicación almacena un archivo DEX cifrado dentro de su carpeta de activos, que sirve como el componente del cargador de primera etapa.
Esta carga útil cifrada se ofusca utilizando el cifrado XOR, evitando la detección inmediata por los escáneres de seguridad.
El cargador de la primera etapa descifra y carga dinámicamente un segundo archivo encriptado que contiene la carga útil maliciosa real.
Este enfoque en capas garantiza que no aparezca ningún código claramente malicioso en el archivo APK principal, lo que complica el análisis forense y los sistemas de detección automatizados.
Pantalla de verificación de tarjeta falsa (fuente – McAfee)
Una vez que se ejecuta la carga útil final, presenta a las víctimas de convencer interfaces bancarias falsas que capturan información confidencial, incluidos números de tarjetas, códigos CVV y detalles personales.
La funcionalidad de minería de criptomonedas funciona a través de la mensajería de la nube de Firebase, lo que permite a los atacantes activar las operaciones mineras de forma remota utilizando el software XMRIG.
Las descargas de malware encriptaban binarios mineros de URL codificadas y las ejecutan utilizando ProcessBuilder, generando criptomonedas de Monero y permanecen en gran medida sin detectar en dispositivos infectados.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
