lunes, 25 de diciembre de 2017

Cron, un malware para dispositivos Android preparado para realizar ataques phishing


Pagar las compras con el móvil es muy cómodo. La posibilidad de acceder a la cuenta existente en nuestra entidad bancaria y realizar las gestiones permite que no dependamos de un sobremesa o portátil. Pero en la mayoría de las situaciones, las ventajas poseen algún que otro inconveniente. Una vez más, los ciberdelincuentes centran sus esfuerzos en este tipo de usuarios gracias al troyano bancario Cron. ¿Cómo funciona esta amenaza?

Los dos objetivos de esta amenaza son las credenciales que permiten la información de las cuentas y los datos asociados a las tarjetas de crédito. Sobre todo, en esta época, los ciberdelincuentes saben que los usuarios utilizan de manera especial esta forma de pago. Expertos en seguridad vinculan esta amenaza al grupo de ciberdelincuentes Cron, bautizando también en un primer momento al malware con este nombre.

No se trata de una amenaza que podemos considerar nueva. A principios de este año, sus propietarios fueron capaces de hacerse con una cantidad próxima a los 900,000 dólares.

Las vías de difusión no varían en exceso. Expertos en seguridad de la empresa Avast confirman que se están valiendo de tiendas de aplicaciones no oficiales para distribuir este troyano bancario. Lo están haciendo pasar por aplicaciones legítimas.

Si el usuario ha instalado esta amenaza en su terminal, se encontrará con que el formulario de inicio de sesión de la aplicación de su entidad bancaria tal vez no sea el original.

Cron superpone su formulario


Cuando el usuario instala la aplicación, esta se identifica como System Application. En el momento de la instalación, se requiere al usuario la aprobación de una gran cantidad de permisos. Eso debería ser clave para continuar o cancelar el proceso.

El funcionamiento inicial es ejecutarse en segundo plano y esperar que el usuario ejecute una aplicación de las existentes en su listado. Es entonces cuando entra en escena. Superpone un formulario al legítimo. El usuario no es consciente de que está introduciendo la información en unos elementos que no corresponden al formulario legítimo de la aplicación que en principio cree estar utilizando.

El resultado: Cuando pulsa el botón de inicio de sesión, la información se recopila en servidores propiedad de los ciberdelincuentes. Una estrategia muy efectiva que permite que los ciberdelincuentes puedan abarcar un gran número de aplicaciones, pero sin un esfuerzo excesivo.

Otros ataques similares


Esta amenaza ya apareció a principios de año con un resultado bastante satisfactorio para los ciberdelincuentes. La realidad es que no solo esta amenaza hace uso de esta práctica. LokiBot, Red Alert y Exobot son tres ejemplos que poseen un funcionamiento similar a la que nos ocupa en este artículo. Todas ellas comparten la misma forma de actuación a la hora de realizar el robo de la información.

La mejor forma de saber si nuestro dispositivo está afectado es buscar en el gestor de aplicaciones la app System Application. Si está instalada deberíamos encontrarle en ejecución.

La desinstalación no es complicada y no es necesario desplazarnos hasta el modo seguro del sistema operativo para completar el proceso de forma satisfactoria.