Los atacantes están armando el apetito de la India por la banca móvil al circular aplicaciones de Android falsificadas que imitan las interfaces e íconos de los bancos de sector público y privado.
Surfacando en los registros de telemetría el 3 de abril de 2025, los impostores viajan a través de textos amortiguadores, códigos QR y envenenamiento del motor de búsqueda, engañando a los usuarios para que los paquetes latiran los paquetes.
Durante la ventana de ejecución inicial, un gotero ligero descifra y escribe su verdadera carga útil al almacenamiento externo antes de solicitar al instalador de Android a través de un diálogo de actualización forjada.
Analistas de cyfirma anotado Ese más de 7,000 dispositivos intentaron contactar al mismo punto final de mensajería Firebase Cloud (FCM) dentro de las 48 horas posteriores al descubrimiento, subrayando el alcance de la campaña.
El abuso de permisos es fundamental para el esquema. Request_install_packages omitir Play Protect, Read_SMS captura OTPS y Query_all_packages le da al troyano una vista panorámica de las aplicaciones instaladas, estableciendo bases para ataques superpuestos.
Instalador de APK principal silencioso (Fuente – Cyfirma)
Este instalador muestra la interfaz de usuario engañosa que recolecta números de teléfono, MPINS de 4 dígitos y CVV de 3 dígitos que se cargan instantáneamente en una base de datos privada de Firebase RealTime.
Una vez que se aseguran las credenciales, el malware desvía silenciosamente la verificación de voz al emitir la cadena USSD *21AttackEnnumber#, permitiendo el reenvío de llamadas incondicionales.
La persistencia se obtiene a través de un receptor Boot_completed y el indicador request_ignore_battery_optimizations, lo que permite que el proceso sobreviva tanto a los reinicios como a las rutinas agresivas de gestión de energía.
Los equipos de seguridad advierten que tales tácticas pueden facilitar la adquisición completa de la cuenta en minutos.
Mecanismo de infección
El gotero oculta su APK secundario, APP-Release.APK, en el directorio de activos y lo instala en silencio a través de FileProvider.
La lógica central se ajusta en algunas líneas de Kotlin:-
val apk = file (filesdir, “app-Release.apk”) Assets.open (“App-Release.apk”). Copyto (apk.outputStream ()) val uri = fileProvider.getUriforFile (this, “$ Packagename.Provider”, APK) STARTA setDataAndType (URI, “Aplicación/VND.Android.Package-Archive”) addflags (intent.flag_grant_read_uri_permission);
Si Install_Now se ejecuta sin supervisión del usuario, PackageInstaller procede y la nueva carga útil se enmienda a sí misma al declarar solo una actividad de categoría de información, no aparece el icono del lanzador.
En Boot, AutoStarthelper vuelve a autorizar los servicios, mientras que un SubscriptionManager llama a las ranuras SIM activas a los números, asegurando que cada SMS interceptado esté etiquetado con el remitente correcto antes de la exfiltración de JSON a través de FCM.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
