La compañía de inteligencia de amenazas Cyble ha dado cuenta de un nuevo y peligroso troyano bancario para Android con la capacidad de espiar a los usuarios y acceder a sus conversaciones.
El malware se haría pasar por una actualización de Google Play y se sirve de ataques de superposición para hacerse con las credenciales de las víctimas.
Además, tiene otros 'superpoderes', como VNC (Virtual Network Computing), un sistema para compartir pantalla que proporciona a los atacantes control remoto sobre los dispositivos infectados.
El malware también puede puede registrar pulsaciones de teclas y grabar la pantalla, desviar llamadas, recopilar contactos y mensajes SMS, bloquear y desbloquear el dispositivo y realizar solicitudes USSD.
Los investigadores de seguridad hallaron esta amenaza a principios de mayo y la han bautizado con el nombre de 'Antidot'.
Cómo opera
Una vez ha infectado un dispositivo Antidot se encarga de mostrar una página de actualización falsa de la tienda de aplicaciones de Google que además varía para adaptarse al idioma del dispositivo (es capaz de usar español, inglés, francés, alemán, portugués, rumano y ruso).
Entonces el malware redirige a la víctima a la configuración de Accesibilidad para engañarla y que le dé permisos elevados.
En paralelo y en segundo plano el troyano inicia la comunicación con el servidor controlado por el atacante para recibir comandos que le permiten realizar ataques de superposición, desbloquear el dispositivo, ponerlo en modo de suspensión, abrir y desinstalar aplicaciones, realizar llamadas, enviar mensajes SMS y recopilar información, ejecutar VNC, enviar notificaciones y usar la cámara para tomar fotos.
Desde Cyble comentan que el malware se sirve de la función MediaProjection para capturar el contenido de la pantalla comprometido. Después codifica dicho contenido y lo transmite al servidor de comando y control (C&C).
Por otro lado, esta amenaza dispone de un módulo de ataque superpuesto para mostrar páginas HTML de phishing que se camuflan como apps bancarioas o de criptomonedas legítimas.
“El troyano bancario Antidot recientemente aparecido destaca por sus capacidades multifacéticas y sus operaciones sigilosas. Su utilización de ofuscación de cadenas, cifrado y despliegue estratégico de páginas de actualización falsas demuestra un enfoque dirigido a evadir la detección y maximizar su alcance en diversas regiones de habla lingüística”, subrayan desde Cyble.