Facebook Linkedin Twitter Instagram Youtube Telegram

Un malware para Android se hace pasar por la app de Starlink para infectar smartphones

El equipo Global Research and Analysis Team (GReAT) de Kaspersky ha descubierto una nueva campaña de malware para Android en la que los ciberdelincuentes distribuyen el troyano BeatBanker haciéndolo pasar por una aplicación de Starlink. Aunque los atacantes están dirigiendo principalmente la campaña a usuarios en Brasil, los expertos no descartan que también pueda afectar a víctimas en otros países. Una vez instalado, el malware puede utilizar el dispositivo para minar criptomonedas y, además, instalar herramientas que permiten a los atacantes controlar el teléfono de forma remota.

Los analistas de Kaspersky han observado inicialmente que BeatBanker se distribuía camuflado como una aplicación de servicios públicos y que incluía un troyano bancario junto con un minero de criptomonedas. Sin embargo, en esta nueva campaña se ha identificado una variante del malware que sustituye el módulo bancario por BTMOB, una herramienta de administración remota (RAT) que permite a los ciberdelincuentes tomar el control completo del dispositivo infectado.

“Al principio observamos BeatBanker distribuido bajo la apariencia de una aplicación de servicios públicos, que instalaba un troyano bancario junto con un minero de criptomonedas. Sin embargo, nuestras últimas investigaciones han identificado una nueva campaña que utiliza otra variante de BeatBanker, que despliega el RAT BTMOB en lugar del módulo bancario. Los atacantes parecen estar utilizando ahora el señuelo de una aplicación de Starlink para llegar a más víctimas en distintos países. Por ello, es fundamental que los usuarios se mantengan alerta y utilicen soluciones de seguridad avanzadas para proteger sus smartphones”, explica Fabio Assolini, responsable de las unidades de América y Europa en Kaspersky GReAT.

Cómo se distribuye el malware

Los expertos creen que los ciberdelincuentes distribuyen una aplicación falsa de Starlink a través de páginas de phishing que imitan el aspecto de Google Play. Una vez que la víctima instala la aplicación, el malware muestra una interfaz que también simula la tienda oficial de aplicaciones y solicita permisos de instalación adicionales.

Si el usuario concede estos permisos, el malware puede descargar y ejecutar otros componentes maliciosos sin que la víctima lo perciba.

Minería de criptomonedas y control remoto del dispositivo

Cuando la víctima pulsa el botón de actualización dentro de la interfaz falsa, el malware despliega un minero de criptomonedas Monero que utiliza los recursos del dispositivo infectado. BeatBanker supervisa factores como la temperatura del teléfono, el nivel de batería o la actividad del usuario para activar o detener el proceso de minería sin levantar sospechas.

Además, el malware instala el RAT BTMOB, una herramienta que se comercializa como Malware-as-a-Service y que permite a los ciberdelincuentes controlar el dispositivo de forma remota. Entre sus funcionalidades se incluyen la concesión automática de permisos, el ocultamiento de notificaciones del sistema y la captura de credenciales de desbloqueo del dispositivo, como PIN, patrones o contraseñas.

El malware también puede acceder a las cámaras del teléfono, monitorizar la ubicación GPS y recopilar información sensible de forma continua.

Para evitar ser eliminado, BeatBanker utiliza un mecanismo poco habitual que consiste en mantener una notificación fija activa y reproducir en segundo plano un archivo de audio prácticamente inaudible, lo que impide que el sistema operativo cierre el proceso malicioso.

Las soluciones de seguridad de Kaspersky detectan esta amenaza como HEUR:Trojan-Dropper.AndroidOS.BeatBanker y HEUR:Trojan-Dropper.AndroidOS.Banker.*.

Cómo protegerse frente a amenazas móviles

  • Descargar aplicaciones únicamente desde tiendas oficiales como Apple App Store o Google Play, aunque incluso en estos entornos conviene mantenerse alerta.
  • Revisar las valoraciones de las aplicaciones, utilizar únicamente enlaces de sitios oficiales e instalar soluciones de seguridad fiables como Kaspersky Premium, capaces de detectar y bloquear actividades maliciosas.
  • Analizar cuidadosamente los permisos solicitados por las apps, especialmente aquellos de alto riesgo como los servicios de accesibilidad.
  • Mantener actualizado el sistema operativo y las aplicaciones, ya que muchas vulnerabilidades se corrigen mediante las actualizaciones de software.

Imagen de Aldana Balmaceda

Aldana Balmaceda

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.