AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nuevo Malware Android en Turquía Usa Entornos Virtualizados para Suplantar Apps Financieras

admin

#### Introducción

En las últimas semanas, se ha identificado una nueva campaña de malware dirigida a instituciones financieras turcas que introduce un sofisticado vector de ataque: la toma de control total de aplicaciones bancarias y de criptomonedas a través de la creación de entornos virtualizados en dispositivos Android. Esta técnica representa una evolución significativa respecto a los métodos tradicionales de fraude financiero móvil, elevando la amenaza para clientes, entidades financieras y equipos de seguridad.

#### Contexto del Incidente

El ecosistema financiero turco, marcado por la rápida adopción de tecnologías móviles y la digitalización de servicios bancarios, se ha convertido en un objetivo recurrente para actores de amenazas. Según datos del CERT-TR, las amenazas contra apps bancarias en Turquía se han incrementado un 22% en el último año, siendo los ataques de malware bancario el vector predominante. El malware recientemente descubierto, apodado provisionalmente «Virtualizer», emplea técnicas avanzadas para evadir controles de seguridad y facilitar el robo de credenciales, manipulando transacciones en tiempo real y comprometiendo la integridad de aplicaciones legítimas.

#### Detalles Técnicos

El malware, identificado en variantes distribuidas vía APK maliciosas y campañas de phishing, afecta principalmente a dispositivos Android con versiones 8.0 (Oreo) y superiores, aunque se han detectado intentos de adaptación para versiones inferiores.

**CVE y vectores de ataque:**
Hasta la fecha, no se ha asignado un CVE específico a la técnica principal, pero la explotación se apoya en vulnerabilidades conocidas relacionadas con la gestión inadecuada de entornos virtualizados y permisos de accesibilidad (por ejemplo, CVE-2019-2215 para escalada de privilegios). El malware solicita permisos de accesibilidad y superposición de pantalla, claves para su operativa.

**Técnica de virtualización:**
«Virtualizer» instala un motor de virtualización ligero (similar a frameworks como VirtualXposed), generando un entorno aislado donde puede ejecutar copias legítimas de apps bancarias o de criptomonedas. En este entorno, el malware intercepta y modifica comunicaciones, captura credenciales mediante keylogging y screen scraping, y manipula transacciones antes de que lleguen a los servidores bancarios.

**TTP según MITRE ATT&CK:**
– **T1083 (File and Directory Discovery):** Escaneo de apps instaladas.
– **T1516 (Input Capture):** Keylogging y screen scraping.
– **T1056 (Input Capture):** Captura de credenciales.
– **T1204 (User Execution):** Ingeniería social para inducción a instalar el APK.
– **T1546 (Event Triggered Execution):** Persistencia mediante servicios de accesibilidad.

**IoC conocidos:**
– Hashes de APK maliciosos distribuidos en canales de mensajería y sitios fraudulentos.
– Comunicaciones a C2 cifrados alojados en infraestructuras bulletproof en Europa del Este.

**Herramientas y frameworks:**
Si bien no se han detectado exploits públicos en Metasploit o Cobalt Strike para esta técnica específica, los investigadores han observado la reutilización de componentes de código abierto disponibles en GitHub para la emulación de entornos Android.

#### Impacto y Riesgos

La capacidad del malware para virtualizar y manipular apps legítimas supone un riesgo crítico, ya que permite:
– Bypass de controles de seguridad de aplicaciones bancarias (por ejemplo, biometría y autenticación multifactor).
– Robo de credenciales y tokens de sesión.
– Manipulación de transferencias en tiempo real.
– Potencial para lanzar ataques a gran escala si se automatiza el proceso.

Los primeros análisis sugieren que al menos 16 entidades financieras turcas y tres plataformas de intercambio de criptomonedas han sido objeto de intentos de ataque, con un estimado de 12.000 dispositivos afectados en la primera ola y pérdidas potenciales que podrían superar los 2 millones de dólares.

#### Medidas de Mitigación y Recomendaciones

– **Auditoría de permisos de accesibilidad** en apps móviles, restringiendo el uso a funciones estrictamente necesarias.
– **Despliegue de soluciones de detección de entornos virtualizados** y análisis de integridad de aplicaciones desde el lado del servidor.
– **Actualización regular de dispositivos** y aplicaciones para mitigar vulnerabilidades conocidas (NIS2 obliga a la gestión proactiva de vulnerabilidades en infraestructuras críticas).
– **Educación y concienciación de usuarios** sobre los riesgos de instalar APKs fuera de Google Play y la importancia de verificar la legitimidad de las apps.
– **Monitorización de IoC** y actualización de reglas en SIEM y EDR para detectar variantes asociadas a «Virtualizer».

#### Opinión de Expertos

Javier Marquina, CISO de una entidad financiera española, destaca: “La sofisticación de esta campaña marca un salto cualitativo; la virtualización a nivel de dispositivo erosiona la tradicional seguridad perimetral de las apps. Es fundamental adoptar enfoques de seguridad centrados en el usuario y el dispositivo, no solo en la aplicación”.

Desde el equipo de respuesta del CERT-TR, señalan que la colaboración entre entidades, desarrolladores y organismos reguladores es imprescindible para frenar la rápida evolución de estas amenazas.

#### Implicaciones para Empresas y Usuarios

Para las entidades financieras, el incidente pone de relieve la urgencia de reforzar tanto los mecanismos de detección de fraude como la verificación de integridad de aplicaciones. Las compañías deben considerar la integración de técnicas anti-emulación y anti-virtualización en sus apps, siguiendo las directrices de la GDPR y NIS2 para la protección de datos y la respuesta a incidentes.

Los usuarios, por su parte, deben extremar la precaución al instalar aplicaciones y conceder permisos, así como mantener sus dispositivos actualizados y protegidos con soluciones de seguridad móvil.

#### Conclusiones

La aparición de este malware que explota entornos virtualizados en Android para comprometer apps financieras representa un cambio de paradigma en el fraude móvil. La rápida evolución de las técnicas empleadas y la dificultad de detección obligan a los equipos de ciberseguridad a replantear sus estrategias, priorizando la seguridad integral de la cadena de confianza y reforzando la colaboración sectorial.

(Fuente: www.darkreading.com)