La nueva amenaza que se ha logrado adentrarse en la tienda de aplicaciones Google Play es tan corrosiva como la saliva de Alien. El malware en cuestión se llama 'Xenomorph' y ha sido encontrado y desenmascarado por la firma de seguridad ThreatFabric.
Descubierto por primera vez este mes, el malware es en realidad un troyano bancario de toda la vida que infecta los móviles de la plataforma del robot, pide acceso al servicio de Accesibilidad y luego se dedica a usar esta última herramienta para mostrar pantallas de inicio de sesión falsas sobre las apps de banca móvil.
La idea es hacer que los usuarios introduzcan los credenciales mientras piensan que usan una app de su banco y apropiarse de ellos.
El malware recopila esta información, junto con otros datos del dispositivo, y la envía a los servidores de comando y control (C&C) de su propietario.
Estos datos se utilizan posteriormente para acceder a cuentas bancarias y robar fondos. En el caso de que las cuentas estén protegidas con autenticación de dos factores, Xenomorph incluso puede interceptar notificaciones de mensajes SMS y recuperar el código único que se envía a los usuarios para los atacantes.
Ya puede emular medio centenar de bancos
La compañía de seguridad asegura que Xenomorph hasta la fecha es capaz de de mostrar pantallas de inicio de sesión falsas para un total de 56 bancos de España, Portugal, Italia y Bélgica.
Y no solo eso. El malware también puede mostrar pantallas de inicio de sesión de 12 billeteras móviles de criptomonedas y 7 apps de correo electrónico.
Xenomorph 'viajaría' como una carga útil de segunda etapa dentro de apps maliciosas que lograr pasar los controles de Google Play Protect. La clave de estas aplicaciones es que solo tienen una pequeña cantidad de código malicioso ('dropper'), pero una vez pasan el filtro descargan malware más potente e intrusivo en el dispositivo.
En principio Xenomorph se ha encontrado por ahora solo a través de la aplicación Fast Cleaner, instalada en más de 50.000 dispositivos, antes de que se retirara de Google Play. Según los investigadores, el malware está aun en una fase de desarrollo, pero tiene potencial para hacer bastante daño.