La aparición de nuevo software malicioso representa una amenaza constante que evoluciona junto con la tecnología. Si hace unos días informamos sobre el regreso de Grandoreiro, ahora investigadores de la empresa de inteligencia de amenazas Cyble han identificado un peligroso troyano bancario diseñado para el Sistema operativo Android, bautizado ‘Antidot’‘. Este malware no sólo espía a los usuarios, sino que también tiene la capacidad de robar sus credenciales más confidenciales, actuando bajo la apariencia de una actualización inofensiva de Google Play Store.
Antidot es un troyano de Android creado para ser multifacético, diseñado para infiltrarse en dispositivos sin levantar sospechas. Una vez instalado, el troyano presenta una página falsa de actualización de Google Play, adaptándose al idioma del dispositivo de la víctima, incluidos español, inglés, francés, alemán, portugués, rumano y ruso. Este primer paso es importante ya que redirige al usuario a la configuración de Accesibilidad del dispositivo, donde el troyano manipula al usuario para que le otorgue permisos que normalmente estarían deshabilitados para proteger el dispositivo.
Una vez que obtiene estos permisos elevados, Antidot comienza su trabajo real en segundo plano. Se comunica con un servidor controlado por los atacantes, que envía comandos para realizar una serie de acciones maliciosas. Estos incluyen ataques de superposición, que son tácticas en las que se muestran páginas de phishing falsas que imitan aplicaciones bancarias o de criptomonedas legítimas, capturando así las credenciales del usuario.
Capacidades avanzadas y estrategias de ataque.
Antídoto no se limita a acciones simples y simples. Tiene capacidades que le permiten grabar lo que se muestra en la pantalla, registrar cada pulsación de tecla y controlar el dispositivo de forma remota. Utilice VNC (Virtual Network Computing) para este propósito, brindando a los atacantes un acceso sin precedentes a información privada de los usuarios. Además, puede bloquear y desbloquear su teléfono, recopilar contactos y mensajes SMS, realizar solicitudes USSD e incluso tomar control sobre las funciones de cámara y llamadas del dispositivo.
La función MediaProjection es especialmente peligrosa, ya que permite al troyano capturar todo el contenido que se muestra en la pantalla del dispositivo infectado. Una vez capturada, esta información se cifra y se transmite de regreso al servidor de comando y control (C&C), donde los atacantes pueden utilizarla según sea necesario.
Prevención y protección contra Antídoto
Como principal herramienta de prevención, se destaca la importancia de la vigilancia y la precaución para protegerse contra tales amenazas. Si algo se recomienda de manera fundamental es el hecho de Descargue solo aplicaciones de fuentes oficiales como Google Play Store y estar siempre atento a los permisos que solicita una aplicación durante la instalación. También es fundamental activar Google Play Protect y mantener actualizado el sistema operativo para defenderse del malware.
Tres razones del éxito de los troyanos de Android
Los ciberdelincuentes explotan troyanos como Antidot por varias razones estratégicas y lucrativas, entre ellas:
- Robo de información financiera y personal: Los troyanos como Antidot son herramientas eficaces para robar información confidencial, como credenciales bancarias, contraseñas, datos de tarjetas de crédito y datos personales. Esta información puede usarse directamente para robar dinero de las cuentas bancarias de las víctimas, realizar compras fraudulentas o venderse en el mercado negro a otros delincuentes, generando una fuente de ingresos ilegítimos.
- Control remoto de dispositivos: Antidot y otros troyanos similares permiten a los atacantes tomar control total de los dispositivos infectados. Esto incluye la capacidad de ejecutar comandos arbitrarios, espiar a las víctimas a través del acceso a la cámara y al micrófono, enviar mensajes y realizar llamadas, que pueden usarse para una variedad de propósitos maliciosos, desde espionaje industrial hasta chantaje.
- Facilidad de propagación y evasión de detección.: Los troyanos como Antidot suelen venir equipados con técnicas avanzadas para evitar la detección por parte del software antivirus y otras medidas de seguridad. Su capacidad para disfrazarse de software legítimo y realizar acciones maliciosas sin alertar al usuario les permite propagarse ampliamente antes de ser detectados.
