Marcher Malware presenta triple amenaza para los usuarios de Android

Según los investigadores de seguridad, una campaña triple de malware bancario ha estado infectando teléfonos Android desde el comienzo de este año, los atacantes han estado robando credenciales, plantando el troyano bancario Marcher en los teléfonos y grabando información de la tarjeta de crédito. Hasta ahora, se han dirigido a los clientes de BankAustria, Raiffeisen Meine Bank y Sparkasse, pero la campaña podría extenderse más allá de Viena.

El ataque comienza con un mensaje de phishing entregado por correo electrónico a un teléfono, explicaron los investigadores de seguridad de Proofpoint en una publicación del viernes. El mensaje pretende ser del banco del objetivo y contiene un enlace que a menudo queda oscurecido por un acortador de direcciones web como bit.ly, el enlace lleva al usuario a una página bancaria falsa donde los ciberdelincuentes solicitan la cuenta bancaria o la información del PIN del objetivo, una vez que los piratas informáticos tienen esa información, dan instrucciones a las víctimas para que inicien sesión en sus cuentas usando su dirección de correo electrónico y contraseña. Toda la información ingresada en el sitio bancario falso es aprovechada por los piratas informáticos.

Permiso para secuestrar

En lugar de obtener acceso a una cuenta, los clientes bancarios reciben un mensaje emergente indicándose que instalen la aplicación de seguridad del banco. Aproximadamente el 7 % de los objetivos han descargado la “aplicación de seguridad”, que es realmente el malware Marcher, estimó Proofpoint.Una vez instalado, el malware solicita amplios permisos, desde recibir, enviar, leer y escribir mensajes SMS hasta abrir tomas de red, leer libretas de direcciones, cambiar la configuración del sistema e incluso bloquear el teléfono. Además, cuando se abren aplicaciones como la tienda Google Play, el malware solicitará la información de la tarjeta de crédito del usuario.

Los troyanos bancarios y el phishing son una opción común para los ciberdelincuentes, la combinación de ambos en una campaña no es centrada, señaló Patrick Wheeler, director de inteligencia de amenazas en Proofpoint.

“Por general, no vemos una gran cantidad de crossover entre los actores de phishing y los que distribuyen malware”. “La combinación de la descarga de troyanos bancarios de ingeniería social y el ataque de phishing en múltiples pasos que reúne credenciales o información financiera en cada paso, es bastante rara”.

No es su típico ataque de correo electrónico

La campaña de Marcher en Austria es significativamente más coordinada que el ataque de correo electrónico estándar, señaló Matt Vernhout, director de privacidad en 250ok. “Sin embargo, puede tener un impacto limitado, ya que la cantidad de pasos necesarios para completar el ataque puede ser más de lo que la mayoría de las personas están dispuestas a completar”. Marcher ha existido durante mucho tiempo, por lo que sus autores pueden considerar necesario modificar la forma en que crean las páginas de destino para atrapar a las víctimas.”Esto es probable porque los vendedores de seguridad y los servidores de dominio están pisandoles los talones y cerrándose”, dijo Armando Orozco, un analista de inteligencia de malware con Malwarebytes:

“Necesitan otras vías para mantener en funcionamiento su modelo de negocios”.

Futura expansión

La probabilidad de que la campaña de Marcher se extienda es muy alta, dijo Wheeler de Proofpoint. “Marcher ha sido observado en todo el mundo, y ya hemos visto una variedad de esquemas para distribuir el malware, principalmente a través de SMS, y la ingeniería social cada vez más sofisticada de los actores asociados con Marcher”, dijo. “Cualquier ataque como este suele ser un canario en la mina de carbón”, señaló Rajiv Dholakia, vicepresidente de productos de Nok Nok Labs.

“Uno debe esperar que las variaciones de esto sigan evolucionando y extendiéndose por todo el mundo”. No es inusual que el malware sea lanzado en un solo país o región y luego, dependiendo de su éxito, se expanda a otros países, dijo Damien Hugoo, director de marketing de productos de Easy Solutions:

“Hemos visto muchos troyanos bancarios comenzar en Europa el año pasado y expandirse globalmente”.

Protégete a ti mismo

¿Qué pueden hacer los consumidores para protegerse de este tipo de ataque?

Una defensa es usar teléfonos Android que sean fáciles de mantener actualizados con la última versión del sistema operativo, como los teléfonos Pixel y Nexus de Google, sugirió Daniel Miessler, director de servicios de asesoramiento de IOActive, “Pixel y Nexus se mantienen actualizados constantemente”, además, “nunca use tiendas de aplicaciones que no sean la tienda oficial de Google Play”, aconsejó Miessler, y “para mayor seguridad, evite instalar aplicaciones que no son muy conocidas ni bien probadas”.

Los consumidores necesitan estar atentos

“Al igual que con los ataques de phishing en cualquier plataforma, le corresponde a los usuarios tener cuidado con las estafas y buscar señales de alerta. Los correos electrónicos o mensajes de texto no solicitados que soliciten información o razonan ampliamente por qué deberían descargar una aplicación son señales de advertencia claras”, aconsejó Proofpoint. Rodador. “Las aplicaciones que solicitan permisos extensos o que no provienen de tiendas de aplicaciones legítimas también deben evitarse”, dijo, “a menos que los consumidores estén absolutamente seguros del origen y la necesidad de la aplicación”.