Hackers de Android apuntan a 400 aplicaciones bancarias, de trading y cripto en una ofensiva global para vaciar cuentas: investigadores de ciberseguridad

Los hackers ahora están apuntando a más de 400 aplicaciones financieras en todo el mundo, desplegando una nueva variante de malware para Android en un intento de vaciar cuentas.

El malware, llamado Albiriox, es un troyano de acceso remoto (RAT) altamente sofisticado diseñado para tomar el control total de un dispositivo infectado, permitiendo a los atacantes acceder y manipular directamente las sesiones bancarias o de criptomonedas legítimas del usuario, según un nuevo análisis de la firma de ciberseguridad Cleafy.

Cleafy afirma que los objetivos de Albiriox abarcan una amplia gama de plataformas financieras, incluyendo bancos tradicionales, aplicaciones fintech, procesadores de pagos, exchanges de criptomonedas, monederos móviles y plataformas de trading. Su amplio alcance indica un esfuerzo deliberado por comprometer tanto a usuarios financieros tradicionales como a quienes poseen activos digitales.

El malware se propaga a través de aplicaciones falsas que se hacen pasar por legítimas, como una aplicación fraudulenta de “Penny Market” desde páginas falsas de Google Play, a las que los usuarios acceden mediante enlaces SMS y deben conceder permisos para instalar antes de que se descargue el virus.

Lo que hace que Albiriox sea particularmente peligroso es su alineación con el Fraude en el Dispositivo (ODF), una clase de malware móvil en rápida expansión que opera dentro de la sesión autenticada de la víctima. Cleafy informa que el troyano utiliza una combinación de control remoto basado en VNC, abuso de servicios de accesibilidad, superposiciones de pantalla dirigidas y recolección dinámica de credenciales.

En conjunto, estas capacidades permiten a los atacantes eludir controles biométricos, autenticación de dos factores y otras salvaguardas de detección de fraude al comportarse como el usuario legítimo.

Una vez que el malware obtiene permisos de accesibilidad, los atacantes pueden navegar por el dispositivo en tiempo real, iniciar transferencias, vaciar monederos de criptomonedas o aprobar transacciones de alto riesgo sin activar las alertas de seguridad habituales. Debido a que la actividad se origina desde el propio dispositivo de la víctima, los bancos y exchanges pueden tener dificultades para detectar el fraude hasta después de que los fondos hayan sido robados.

Cleafy concluye que Albiriox representa un cambio significativo en el cibercrimen móvil, con los actores de amenazas priorizando cada vez más el malware enfocado en ODF, capaz de comprometer de manera persistente y total el dispositivo.

De cara al futuro, los investigadores advierten que el sector financiero y especialmente los usuarios de criptomonedas deben esperar más ataques que dependan de la toma de control de sesiones en tiempo real en lugar de los métodos tradicionales de phishing o robo de credenciales.

Generated Image: Midjourney