SharkBot es uno de los troyanos del momento que ha afectado principalmente en Reino Unido, con un 80% de los infectados., Aún así, a pesar de las restricciones se usan estas apps como vectores de ataque. Una vez instaladas en un terminal, descargan desde un servidor remoto el malware y lo instalan en el teléfono. Las entidades objetivo incluyen Banco de Irlanda, Banco de Escocia, Barclays, BNL, HSBC UK, Lloyds Bank, Metro Bank y Santander.
Vale la pena destacar que todas ellas han sido retiradas de Google Play, si bien LiteCleaner M aún se puede conseguir a través de una tienda de terceros llamada Apksos. En esta tienda hay una cuarta app infectada: Phone AID, Cleaner, Booster.
¿Qué es SharkBot?
SharkBot es un troyano creado específicamente para los sistemas operativos Android. Se trata de un virus bancario cuya finalidad es robar las credenciales de ingreso a sitios web, sobre todo bancos y aplicaciones financieras. Además, con la programación adecuada, es capaz de realizar transferencias sin que el dueño del teléfono se entere.
Al igual que muchos otros troyanos que se dirigen a Android, este aprovecha las funciones de accesibilidad del dispositivo. Estas se implementaron para leer los datos en pantalla y narrarlos en forma de audio a las personas con visión limitada. Sin embargo, la lectura de pantalla es usada para captar datos de ingreso.
Del mismo modo, SharkBot es capaz de registrar pulsaciones de pantalla y teclado, lo que le permite obtener claves de ingreso. También oculta mensajes de texto entrantes, para que no tengas tiempo de invalidar las transacciones, en caso de tener la verificación en dos pasos activada en alguna de tus plataformas.
Se trata de un troyano bastante potente, que puede pasar desapercibido fácilmente. En la Play Store se cargan miles de aplicaciones diariamente, así que es importante saber cuáles de ellas podrían estar infectadas con el SharkBot.
Aplicaciones con SharkBot
Reino Unido ha sido víctima de más del 80% de los ataques de este troyano. El resto, lo ha sufrido Italia. Sin embargo, en ambos casos, las aplicaciones descargadas estaban relacionadas. En la mayoría de los casos, se trata de administradores de archivos. A continuación, algunos ejemplos:
- X-File Manager (com.victorsoftice.llc) – 10,000+ downloads
- FileVoyager (com.potsepko9.FileManagerApp) – 5,000+ downloads
- LiteCleaner M (com.ltdevelopergroups.litecleaner.m) – 1,000+ downloads
X-File Manager
Esta es una de las muchas aplicaciones que han sido infectadas con el troyano. Se trata de un administrador de archivos con un diseño bastante intuitivo, que lo hace parecer algo totalmente limpio. Sin embargo, pide permisos al teléfono para descargar aplicaciones exteriores, que resultan ser para robar tus datos bancarios.
FileVoyager
El mismo caso que en X-File Manager. A simple vista, parece un administrador de archivos bastante común, pero también pediría permisos para instalar aplicaciones externas. Además, algunos usuarios afirman no poder desinstalarla. Aunque ha sido borrada de la Play Store, FileVoyager sigue disponible en tiendas de terceros.
Permisos que pide:
READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE, GET_ACCOUNTS, REQUEST_INSTALL_PACKAGES, QUERY_ALL_PACKAGES, REQUEST_DELETE_PACKAGES.
LiteCleaner M
Hasta ahora, solo ha tenido 1.000 descargas. Es bastante normal buscar aplicaciones para “acelerar el móvil” o para “optimizar las funciones del celular”. Sin embargo, esta no hace más que llenar el teléfono de malware.
Phone AID, Cleaner, Booster
Al igual que LiteCleaner M, se presenta como una aplicación para acelerar el funcionamiento del teléfono. Está disponible en tiendas de aplicaciones de terceros, ajenas a Google Play Store, así que, por los momentos, la tasa de infección es bastante baja.
Fuentes:
