Home / Z-Smartphones / Android / Investigadores afirman que una falsa app antivirus de Android podría estar relacionada con el troyano bancario Zeus

Investigadores afirman que una falsa app antivirus de Android podría estar relacionada con el troyano bancario Zeus

 

Una aplicación falsa de seguridad para Android recién descubierta podría ser un componente móvil del malware bancario Zeus, según informaron los investigadores de seguridad de la firma antivirus Kaspersky Lab el lunes.

Llamada Android Security Suite Premium, la app maliciosa es capaz de robar mensajes SMS y subirlos a un servidor remoto. Cuando se activa, la aplciación muestra la imagen de un escudo, asociada hace mucho con los falsos programas antivirus para Windows también conocidos como FakeAV o scareware.

“Cómo podría olvidar un logo tan identificable”, exclamó Nathan Collier, analista de investigación de amenazas para la firma de antivirus Webroot, en una entrada de blog sobre la app falsa el viernes. “Ahora que los desarrolladores del popular malware FakeAV acaba de ingresar al mundo móvil, esperen ver muchas más variaciones”.

Sin embargo, esta podría no ser una aplicación de scareware para móviles, sino una nueva variante de ZitMo, o Zeus in the Mobile, de acuerdo al analista senior de malware de Kaspersky Lab, Denis Maslennikov.

Las aplicaciones ZitMo son apps móviles maliciosas que los cibercriminales usan en conjunto con el troyano de computadora Zeus para robar dinero de cuentas bancarias en línea. Aparecieron en el 2010 como respuesta a la implementación de medidas de seguridad basadas en móviles por parte de los propios bancos.

Su propósito es robar números de autorización de transacción móvil (mTANs) enviados por los bancos a sus clientes mediante mensajes de texto. Sin un mTAN, el estafador no podría autorizar transacciones iniciadas con credenciales robadas.

Nueva variante identificada

La información de registro para los nombres de dominio donde Android Security Suite Premium sube los SMS robados se corresponde con la información de registro de los dominios de comando-y-control para Zeus del 2011, dijo Maslennikov. Esto, sumado a la funcionalidad para robar SMS de la app, daría a entender que se trata de una nueva versión de ZitMo.

Aún cuando la app muestra un código de activación cuando la abres, no despliega alertas de seguridad falsas ni pide dinero a los usuarios como otras aplicaciones de scareware, aclara Maslennikov, diciendo que “no es un AV falso… al 100 por ciento”.

Los investigadores de Kaspersky siguen analizando cómo se distribuye la aplicación maliciosa. Es posible que, como con las versiones de ZitMo anteriores, los atacantes empleen tácticas de ingeniería social para engañar a sus víctimas y hacer que lo descarguen, explicó Maslennikov.

El troyano para computadoras Zeus tiene la capacidad de inyectar pop-ups en sitios de banca en línea cuando se abren dentro de máquinas infectadas. Esta funcionalidad se ha usado en el pasado para distribuir aplicaciones ZitMo como actualizaciones de seguridad de los bancos afectados.

De manera similar, Android Security Suite Premium podría aparecer promocionado como un producto gratuito de seguridad para Android ofrecido por el banco de la víctima.

Como ya recomendaron los investigadores de seguridad en el pasado, los usuarios sólo deberían instalar aplicaciones Android del sitio oficial de Google Play y siempre buscar reseñas de una aplicación y las estadísticas de descarga para determinar si es confiable.

PCWorld – 20/6/2012