El nuevo malware de Android puede robar sus códigos 2FA: ¿ha pirateado su teléfono?
Check Point Research (CPR), un equipo de investigación de seguridad cibernética, encontró un un nudo Malware de Android llamado FluHorse. Esta pieza de software malicioso tiene la capacidad de imitar aplicaciones legítimas, atrayendo a las víctimas desprevenidas a su arsenal engañoso.
Para empeorar las cosas, FluHorse puede permanecer inactivo en su dispositivo durante meses, sin ser detectado y volando bajo su radar. Los investigadores de Check Point Research calificaron la amenaza como «persistente, peligrosa y difícil de detectar».
¿Qué puede hacer FluHorse?
Como se mencionó, FluHorse’s método de trabajo él está imitando solicitudes sinceras para atraer a las víctimas a su guarida seductora. Por ejemplo, los investigadores descubrieron que el malware se hacía pasar por una popular aplicación de cobro de peaje con sede en Taiwán en Google Play.
Según CPR, los atacantes detrás de FluHorse a menudo imitaban las principales aplicaciones bancarias y de transporte, pero el informe no reveló los nombres de estas aplicaciones maliciosas. Más de la mayoría de estas aplicaciones están infectadas con FluHorse, según CPR 1,000,000 instalado. ¡Demonio!
«Los operadores de malware se han esforzado mucho en copiar cuidadosamente los detalles importantes de la interfaz para evitar sospechas», dice el informe de CPR.
Una vez que FluHorse llega al dispositivo de la víctima, puede robar sus credenciales y códigos de autenticación de dos factores (2FA). ¿Como? Primero, una vez que la aplicación del impostor está instalada, le pide a las víctimas que le permitan enviar y ver mensajes SMS.
A continuación, se solicita a los usuarios que ingresen sus credenciales (por ejemplo, contraseñas y detalles de la tarjeta de crédito). En algún momento, un servidor de comando y control intercepta cualquier tráfico de SMS entrante para códigos 2FA. Vea cómo funciona el malware paso a paso con el siguiente diagrama.
¿Cómo terminan estas aplicaciones infectadas con FluHorse en los teléfonos de los usuarios? Una sofisticada campaña de phishing que engaña a las víctimas para que instalen aplicaciones como APK. «Seguimos las cadenas de infección de diferentes tipos de aplicaciones maliciosas y descubrimos entidades de alto perfil entre los destinatarios de estos correos electrónicos», dice el informe.
CPR señaló que Flutter, un kit de desarrollo de software de código abierto creado por Google, es el marco detrás de estas aplicaciones maliciosas. Los mercados de Asia oriental, según CPR, eran los principales objetivos de FluHorse, pero eso no significa que esté fuera de escena si se encuentra fuera de esa región.
Como siempre, la moraleja de la historia es evitar instalar aplicaciones de Android desde tiendas de aplicaciones de terceros no confiables, correos electrónicos sospechosos y otros canales peligrosos. Google Play Store tiene sus inconvenientes, pero es una plataforma mucho más segura que las fuentes antes mencionadas.
Volvamos a los portátiles ultrabook
