Tal y como hemos podido comprobar en varias ocasiones, el malware para Android puede presentarse de diferentes maneras, algunas de ellas particularmente desagradables y peligrosas. Mientras que algunos tipos recopilan información del dispositivo para hacerse con datos confidenciales, otros tratan de tomar el control del mismo.
Pues bien, en estas líneas te vamos a hablar de Anubis, una nueva cepa de malware que intenta ir un paso más allá tratando de hacerse, cuando nos conectamos a servicios de banca on-line, con nuestras contraseñas y otros datos sensibles para enviarlas al atacante sin que nos demos cuenta.
Y es que últimamente ha habido una preocupante cantidad de apps ilegítimas en la Google Play de Android que albergan código malicioso, y Anubis no es diferente. Este malware suele introducirse a través de aplicaciones de aspecto oficial que ofrecen servicios bancarios o de compras a través de Internet.
Estas aplicaciones maliciosas consiguen eludir las comprobaciones de seguridad y los análisis antivirus de la Google Play al, en principio, no contener ningún tipo de malware. Sin embargo contienen código que posteriormente se activa para obtener el malware de un servidor de control una vez que la app ha pasado los controles de seguridad y ya está disponible para que los usuarios las descarguen. De este modo, una vez que se ha bajado una aplicación con el código Anubis, esta contacta con el servidor y descarga la parte útil. Tras ello se solicita al propio usuario permiso para hacer «lo que le plazca» en el terminal infectado.
Así Anubis pide más permisos haciendo uso del nombre ”Google Play Protect” cuando pregunta, por lo que cuando el usuario ve que aparece el cuadro de diálogo pidiendo más permisos, cree que se trata simplemente de una actualización de la Google Play y los acepta, permitiendo así que Anubis haga su trabajo.
Cómo funciona el malware de Android, Anubis
Anubis es lo que se conoce como un “BankBot”, código malicioso que se diseña para estar «atento» a cuando el usuario introduzca sus credenciales del banco y después el atacante las pueda usar a su vez. Normalmente esto se logra buscando aplicaciones bancarias instaladas en el teléfono, y en caso contrario, las imita.
Por el contrario, Anubis «lee» directamente las pulsaciones de teclas que el usuario realiza en el teclado de la pantalla y además tiene la capacidad de tomar capturas de pantalla de la aplicación y enviarlas al atacante, lo que es bastante efectivo para el ciberdelincuente. Estos ataques en particular comenzaron debido a que la gente descarga aplicaciones de aspecto oficial que contenían malware, apps que por cierto sólo estaban en la tienda durante unos días y tenían pocos comentarios de usuarios y descargas, algo a lo que debemos estar atentos en todo momento.
Por todo ello, aunque aparezca una pantalla de permisos para Google Play Protect sospechosa en la que se solicitan permisos de administrador para «observar» nuestras acciones y recuperar el contenido de la ventana, no debemos permitirlo, ya que es muy probable que se trate de Anubis, que finge ser de la Google Play.
