AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nuevo malware combina fraude bancario y control remoto a través de descargas falsas de TikTok y Chrome

admin

#### Introducción

En el cambiante panorama de la ciberseguridad, los actores de amenazas continúan evolucionando sus tácticas para maximizar el impacto y la rentabilidad de sus campañas. Durante el primer semestre de 2024, se ha detectado un nuevo malware emergente que destaca por integrar capacidades avanzadas de fraude bancario con funciones de vigilancia extensiva y control remoto del dispositivo, todo ello propagado mediante descargas falsas de aplicaciones populares como TikTok y Google Chrome. Este desarrollo representa un serio desafío para los equipos de ciberdefensa, especialmente en sectores financieros y empresas con una fuerza laboral dispersa o con políticas BYOD.

#### Contexto del Incidente o Vulnerabilidad

El malware ha sido identificado principalmente en campañas dirigidas a usuarios de Android, aunque no se descarta la ampliación de vectores a otras plataformas móviles o de escritorio. Los atacantes distribuyen versiones fraudulentas de aplicaciones legítimas a través de sitios web clonados, anuncios maliciosos (malvertising) y mensajes de phishing en redes sociales y servicios de mensajería instantánea. Una vez instalado, el software malicioso solicita permisos excesivos, lo que le permite acceder a información sensible y ejecutar comandos remotos.

Este vector de infección no es nuevo, pero la combinación de fraude bancario y capacidades de acceso remoto y vigilancia representa una escalada significativa. La aparición de este malware se enmarca en la tendencia creciente de campañas híbridas, donde el espionaje y la monetización directa coexisten en un mismo artefacto.

#### Detalles Técnicos

El malware, aún sin un nombre consensuado pero identificado por varios laboratorios como una variante avanzada de troyanos bancarios (similar a Hydra o GodFather), explota la ingeniería social y la suplantación de aplicaciones legítimas. El análisis forense ha detectado que emplea técnicas de **overlay attack** para superponer pantallas falsas sobre aplicaciones bancarias, interceptando credenciales y tokens de autenticación en dos factores (2FA). Adicionalmente, incorpora módulos de RAT (Remote Access Trojan) que permiten:

– Captura de pantalla y grabación de audio en tiempo real.
– Acceso a SMS, contactos y archivos del dispositivo.
– Instalación y desinstalación de aplicaciones adicionales sin conocimiento del usuario.

El malware abusa de permisos de accesibilidad (Accessibility Service), una táctica asociada a TTPs del framework MITRE ATT&CK, concretamente a **T1546.008 (Abuse Elevation Control Mechanism: Accessibility Features)** y **T1059 (Command and Scripting Interpreter)** para ejecutar comandos arbitrarios. Los IoC identificados incluyen hashes de APK maliciosas, dominios C2 ofuscados y certificados digitales fraudulentos.

Cabe destacar que ya existen exploits para esta variante integrados en frameworks de pentesting como **Metasploit**, facilitando tanto la investigación como la explotación por parte de actores maliciosos. Por otro lado, se han detectado campañas de distribución a través de botnets que reutilizan infraestructura previamente asociada a malware como Anubis o Cerberus.

#### Impacto y Riesgos

El impacto de este malware es considerable, especialmente en organizaciones financieras y usuarios finales con acceso a aplicaciones bancarias. Según estimaciones de firmas de análisis, el 12% de los dispositivos Android en mercados emergentes han estado expuestos a alguna campaña relacionada en los últimos tres meses. Las pérdidas económicas atribuidas a fraudes directos superan los 8 millones de euros, sin contar el coste reputacional y las posibles sanciones por incumplimiento de GDPR y directivas como **NIS2**.

La capacidad de vigilancia remota amplía el espectro de riesgos, permitiendo ataques de espionaje corporativo, robo de información sensible y suplantación de identidad a gran escala. La persistencia del malware y su resistencia a técnicas de desinstalación tradicional incrementan la dificultad de contención.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este malware, se recomienda:

– Desplegar soluciones EDR (Endpoint Detection and Response) con capacidades de análisis de comportamiento en dispositivos móviles.
– Bloquear instalaciones de aplicaciones desde fuentes no oficiales mediante políticas MDM (Mobile Device Management).
– Implementar autenticación robusta (MFA basada en hardware) y monitorización continua de accesos bancarios.
– Mantener actualizados los sistemas operativos y aplicaciones, y educar a los usuarios sobre los riesgos de descargar apps fuera de las tiendas oficiales.
– Monitorizar IoCs publicados por entidades como CERT-EU y aprovechar feeds de inteligencia de amenazas para actualizar reglas en SIEM y firewalls.

#### Opinión de Expertos

Analistas de ciberseguridad de empresas como Kaspersky y ESET coinciden en que la convergencia de troyanos bancarios y RATs marca una nueva etapa en la sofisticación del malware móvil. Según declaraciones a Dark Reading, “el uso malicioso de permisos de accesibilidad y la rápida adaptación a nuevas aplicaciones populares dificultan la detección por firmas tradicionales. La prevención y la concienciación son ahora más críticas que nunca”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, especialmente aquellas reguladas por GDPR y NIS2, un incidente de este tipo puede derivar en sanciones económicas y responsabilidades legales por filtraciones de datos personales o financieros. Los usuarios particulares, por su parte, corren el riesgo de sufrir robos directos, además de ver comprometida su privacidad y la de sus contactos.

Las organizaciones deberían revisar sus políticas de BYOD, reforzar las campañas de formación y considerar la adopción de soluciones Zero Trust para accesos móviles sensibles.

#### Conclusiones

Este nuevo malware representa una amenaza polifacética y en rápida evolución, que exige una respuesta integral por parte de los equipos de ciberseguridad. La combinación de técnicas de fraude bancario, vigilancia y control remoto obliga a actualizar estrategias defensivas y a priorizar la visibilidad sobre dispositivos móviles. La colaboración entre CERTs, fabricantes de software y el intercambio de inteligencia de amenazas serán claves para frenar la propagación y minimizar el impacto de estas campañas.

(Fuente: www.darkreading.com)