Cuidado con Xenomorph, un malware que roba información de 56 bancos

Un nuevo malware llamado Xenomorph ha infectado decenas de miles de móviles Android y está diseñado para robar información de cuentas financieras en España, Portugal, Italia y Bélgica. Lo peor del asunto, es que está siendo distribuido en apps supuestamente inocuas de la tienda oficial Google Play Store.

Investigadores de la empresa de prevención de fraudes y delitos cibernéticos ThreatFabric, que analizaron este desarrollo, encontraron código y vínculos claros con el conocido troyano bancario Alien y de ahí su denominación. Esto sugiere que las dos amenazas están conectadas de alguna manera. O Xenomorph es el sucesor de Alien o un ciberdelincuente ha estado trabajando en ambos.

Xenomorph, amplias capacidades

Como otros de su tipo, tiene como objetivo robar información financiera confidencial, apoderarse de cuentas bancarias, realizar transacciones no autorizadas y vender los datos robados a compradores interesados. Las funcionalidades de Xenomorph no están completamente desarrolladas según la investigación, pero el troyano puede representar una gran amenaza ya que apunta a 56 bancos y podría alcanzar un potencial «comparable a otros troyanos bancarios Android modernos«.

Por ejemplo, el malware puede interceptar notificaciones, registrar SMS y usar inyecciones para realizar ataques superpuestos, por lo que ya puede arrebatar credenciales y contraseñas de un solo uso utilizadas para proteger cuentas bancarias. Después de su instalación, la primera acción que realiza es enviar una lista de los paquetes instalados en el dispositivo infectado para cargar las superposiciones adecuadas.

Para lograr lo anterior, el malware solicita la concesión de permisos del Servicio de Accesibilidad en el momento de la instalación y luego abusa de los privilegios para concederse permisos adicionales según sea necesario: «Su motor de accesibilidad es muy detallado y está diseñado con un enfoque modular en mente. Contiene módulos para cada acción específica requerida por el bot y se puede ampliar fácilmente para admitir más funcionalidades. No sería sorprendente ver este bot con capacidades semi-ATS en un futuro muy cercano«, alertan desde ThreatFabric.

Desde la Play Store

El malware Xenomorph se ha distribuido en la Google Play Store a través de aplicaciones genéricas que dicen «aumentar el rendimiento» como «Fast Cleaner». Estas utilidades son un clásico señuelo de los troyanos bancarios y ya lo vimos con Alien. Para evadir el rechazo durante la revisión de la aplicación en la tienda, Fast Cleaner obtiene la carga útil después de la instalación, por lo que la aplicación está limpia en el momento del envío.

Google ha hecho un gran esfuerzo por asegurar la Play Store, pero todavía hay malware que se distribuye desde ahí. Los usuarios también tenemos que aportar, descargando únicamente las apps de máxima confianza. Olvida todo lo que prometa «aumentar el rendimiento». Son meras aplicaciones basura que no hacen nada de lo que prometen. O peor, se usan para distribuir malware. Cuidado, es en España donde está más activo este Xenomorph