EADTrust

Variante del troyano Faketoken cifra y roba datos de apps financieras Android

By on 3 febrero, 2017
Kaspersky malware Android

Kaspersky logoLos expertos anti-malware de Kaspersky Lab han descubierto una modificación del troyano bancario móvil Faketoken que puede cifrar los datos de los usuarios. Disfrazado de varios programas y juegos, incluyendo Adobe Flash Player, el troyano también puede robar credenciales de más de 2.000 aplicaciones financieras de Android. Faketoken ha afectado a más de 16.000 víctimas en 27 países, la mayoría ubicados en Rusia, Ucrania, Alemania y Tailandia.

La nueva capacidad de cifrado de datos es inusual, ya que la mayoría de los ransomwares móviles se centran en bloquear el dispositivo en lugar de la información, que generalmente se respalda a la nube. En el caso de Faketoken, los datos, incluidos los documentos y archivos multimedia, como imágenes y vídeos, se cifran utilizando un algoritmo simétrico AES que, en algunos casos, puede ser descifrado por el usuario sin pagar un rescate.

Durante el proceso inicial de infección, el troyano exige derechos de administrador, permiso para superponer otras aplicaciones o convertirse una app SMS por defecto – a menudo dejando a los usuarios con poca o ninguna opción. Entre otras cosas, estos derechos permiten a Faketoken robar datos: tanto directamente, como contactos y archivos, e indirectamente, a través de páginas de phishing.

El troyano está diseñado para el robo de datos a escala internacional: una vez que todos los derechos necesarios están aprobados, descarga una base de datos de su servidor de comando y control que contiene frases en 77 idiomas para diferentes localizaciones de dispositivos, incluyendo el español. Se utilizan para lanzar mensajes de phishing para hacerse con las contraseñas de las cuentas de Gmail de los usuarios.

El troyano también puede superponer Google Play Store, presentando una página de phishing para robar los detalles de la tarjeta de crédito. De hecho, el troyano es capaz de descargar una larga lista de aplicaciones para ataques e incluso una página de plantillas HTML para generar páginas de phishing para las aplicaciones relevantes. Los expertos de Kaspersky Lab descubrieron una lista de 2.249 aplicaciones financieras.

La nueva versión de Faketoken también intenta reemplazar con sus propias versiones los accesos directos de aplicaciones para redes de medios sociales, mensajería instantánea y navegadores. El motivo no está claro ya que los iconos que sustituyen dirigen a las mismas aplicaciones legítimas.

Más información

 

Deja un comentario