Pagar las compras con el móvil es muy cómodo.
La posibilidad de acceder a la cuenta existente en nuestra entidad
bancaria y realizar las gestiones permite que no dependamos de un
sobremesa o portátil. Pero en la mayoría de las situaciones, las
ventajas poseen algún que otro inconveniente. Una vez más, los
ciberdelincuentes centran sus esfuerzos en este tipo de usuarios gracias
al troyano bancario Cron. ¿Cómo funciona esta amenaza?
Ni que decir tiene que los dos objetivos de
esta amenaza son las credenciales que permiten la información de las
cuentas y los datos asociados a las tarjetas de crédito. Sobre todo, en
esta época, los ciberdelincuentes saben que los usuarios utilizan de
forma especial esta forma de pago. Expertos en seguridad vinculan esta
amenaza al grupo de ciberdelincuentes Cron, bautizando también en un
primer momento al malware con este nombre.
No se trata de una amenaza que podemos considerar nueva. A principios
de este año, sus propietarios fueron capaces de hacerse con una
cantidad próxima a los 900.000 dólares.
Las vías de difusión no varían en exceso. Expertos en seguridad de la
empresa Avast confirman que se están valiendo de tiendas de
aplicaciones no oficiales para distribuir este troyano bancario. Lo
están haciendo pasar por aplicaciones legítimas.
Si el usuario ha instalado esta amenaza en su terminal, se encontrará
con que el formulario de inicio de sesión de la aplicación de su
entidad bancaria tal vez no sea el original.
Cron superpone su formulario
Cuando el usuario instala la aplicación, esta se identifica como System Application.
En el momento de la instalación, se requiere al usuario la aprobación
de una gran cantidad de permisos. Eso debería ser clave para continuar o
cancelar el proceso.
El funcionamiento inicial es ejecutarse en segundo plano y esperar
que el usuario ejecute una aplicación de las existentes en su listado.
Es entonces cuando entra en escena. Superpone un formulario al legítimo.
El usuario no es consciente de que está introduciendo la información en
unos elementos que no corresponden al formulario legítimo de la
aplicación que en principio cree estar utilizando.
El resultado: Cuando pulsa el botón de inicio de sesión, la
información se recopila en servidores propiedad de los
ciberdelincuentes. Una estrategia muy efectiva que permite que los
ciberdelincuentes puedan abarcar un gran número de aplicaciones, pero
sin un esfuerzo excesivo.
Otros ataques similares
Esta amenaza ya apareció a principios de año con un resultado
bastante satisfactorio para los ciberdelincuentes. La realidad es que no
solo esta amenaza hace uso de esta práctica. LokiBot, Red Alert y
Exobot son tres ejemplos que poseen un funcionamiento similar a la que
nos ocupa en este artículo. Todas ellas comparten la misma forma de
actuación a la hora de realizar el robo de la información.
La mejor forma de saber si nuestro dispositivo está afectado es buscar en el gestor de aplicaciones la app System Application. Si está instalada deberíamos encontrarle en ejecución.
La desinstalación no es complicada y no es necesario desplazarnos
hasta el modo seguro del sistema operativo para completar el proceso de
forma satisfactoria.
_____________________________________________________________________
Tomado de: https://www.redeszone.net/2017/12/24/cron-malware-dispositivos-android-preparado-realizar-ataques-phishing/
Se Respetan Derechos de Autor.
Tomado de: https://www.redeszone.net/2017/12/24/cron-malware-dispositivos-android-preparado-realizar-ataques-phishing/
Se Respetan Derechos de Autor.