La Play Store de Google está distribuyendo de manera involuntaria una forma particular de malware para Android por tercera vez este año. Su nombre es BankBot, un troyano bancario que apareció por primera vez en abril de este año, fue eliminado y luego se conoció que había regresado en septiembre antes de ser eliminado por segunda vez.
Ahora, BankBot ha regresado a la tienda de aplicaciones de Google Play, luego de haber superado de alguna manera los protocolos de seguridad y la verificación de aplicaciones.
Como informamos anteriormente, BankBot está diseñado para robar credenciales bancarias e información de pago, engañando a los usuarios para que entreguen sus datos mostrando una ventana superpuesta que se ve idéntica a la página de inicio de sesión de la app del banco en cuestión.
Este malware es capaz de identificar una gran variedad de apps móviles financieras en los dispositivos infectados y adapta el ataque de phishing para mostrar una versión falsa de la app que utiliza el usuario.
El regreso de BankBot ha sido descubierto por los investigadores de seguridad informática de RiskIQ, quienes han dicho que esta versión del malware se disfraza como una app llamada ‘Cryptocurriencies market prices’, que incluye un logotipo falso de Verified by Play Protect para que parezca como una app conocida y confiable.
A los ojos del usuario, la app parece diseñada para comparar precios de criptomonedas con otras formas de dinero, e incluso está equipada con una aplicación legítima para el monitoreo del mercado de estos activos digitales, que es en parte la forma en que la app se las arregla para eludir las comprobaciones de seguridad de Google Play Store.
Cuando se instala esta app en el dispositivo, ésta solicita varios permisos intrusivos, incluida la capacidad de leer y enviar mensajes, acceder a Internet y al almacenamiento externo del dispositivo Android. Finalmente, el usuario le da todos los permisos que BankBot requiere para superponer su pantalla de falso inicio de sesión, luego extrae la información de la cuenta bancaria y se la envía al hacker.
Desde que fue detectada, la app de distribución de malware Cryptocurrencies market prices ha sido eliminada de la Play Store. Los investigadores lograron determinar que la app fue descargada al menos unas mil veces. Por su parte, Google sostiene que mantiene a la gran mayoría de sus 1,4 millones de usuarios de Android a salvo del malware.
