Observatorio de Amenazas

Nuevo troyano hace objetivo a más de 35 empresas financieras

Escrito por Marcelo Carvajal | 27-09-23

La ingeniería social, que busca persuadir a colaboradores y usuarios para que divulguen sus credenciales de inicio de sesión o faciliten la recuperación de contraseñas y códigos de autenticación, sigue siendo un método ampliamente utilizado para asumir el control de cuentas. Un ejemplo reciente es Xenomorph, un nuevo troyano que se aprovecha de páginas de phishing para atraer a sus víctimas. Este troyano representa la continuación de una línea de adaptabilidad y mejoras que comenzaron en 2022 y que en la actualidad, se ha detectado apuntando a más de 35 instituciones financieras de habla inglesa y española.

Cómo actúa Xenomorph

La campaña de este troyano está diseñada para atraer a usuarios para que instalen aplicaciones Android maliciosas presuntamente legítimas que pueden ser descargadas desde la Play Store de Google.

Por su parte, el gigante de la información a pesar de tomar medidas para reducir la cantidad de aplicaciones maliciosas en su mercado de aplicaciones, se les vuelve complejo evitar que los delincuentes lleguen a la tienda al utilizar distintos métodos para intentar eludir los sistemas de protección.

Adicionalmente, la última ola de ataques de este troyano a mediados de agosto de 2023 ha realizado cambios en sus tácticas de ingreso, distribuyendo las aplicaciones a través de sitios falsificados que ofrecen actualizaciones del navegador Chrome.

Esta nueva variante posee una función para llevar a cabo el fraude, utilizando lo que se conoce como el Sistema de Transferencia Automática (ATS), un elemento que lo diferencia tanto de su predecesor, el troyano conocido como Alien, que se podría hablar de un malware completamente nuevo.

Una vez instalados en el teléfono móvil, toman completamente el control del dispositivo, abusando de los privilegios de accesibilidad de Android. El malware utiliza la superposición para robar información confidencial como credenciales y números de tarjetas de crédito al mostrar pantallas de inicio de sesión falsas en la parte superior de las aplicaciones bancarias a las que ha hecho objetivo.

Con este control completo, la función ATS permite extraer automáticamente las credenciales, acceder a la información del saldo de la cuenta, iniciar transacciones, obtener tokens MFA de las aplicaciones de autenticación y realizar transferencias de fondos, todo ello sin necesidad de ninguna intervención humana.

 

Actualmente, sus objetivos se centran en dispositivos Samsung y Xiaomi, quienes combinados representan aproximadamente el 50 % de toda la cuota de mercado de Android. Y su distribución se ha visto principalmente en EEUU, junto con otros países de Europa.

La capacidad de traducir sin problema este malware ha puesto en segundo lugar de distribución a España y se espera que otros países de habla hispana, como Chile puedan seguir los pasos de este tipo de malware.

 

Prevención y mitigación

La protección de los dispositivos móviles es una realidad que debe tomar impulso dentro de las organizaciones para impedir que sus colaboradores se vean expuestos al robo de información. Con el aumento de la implementación del doble o múltiple factor de autenticación para las cuentas de colaboradores, los dispositivos móviles han entrado también al flujo de activos que deben ser protegidos.

Por otra parte, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y sean conscientes de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a eventos de seguridad:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
    • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://services.google.com/fh/files/blogs/gcat_threathorizons_full_jul2023.pdf

https://thehackernews.com/2023/09/xenomorph-banking-trojan-new-variant.html