Hackers de Android apuntan a 400 aplicaciones bancarias, de trading y de criptomonedas en un intento global por vaciar cuentas: investigadores de ciberseguridad

Hackers ahora están apuntando a más de 400 aplicaciones financieras en todo el mundo, desplegando una nueva cepa de malware para Android en un intento de vaciar cuentas.

El malware, llamado Albiriox, es un troyano de acceso remoto (RAT) altamente sofisticado diseñado para tomar el control total de un dispositivo infectado, permitiendo a los atacantes acceder y manipular directamente las sesiones bancarias o de criptomonedas legítimas del usuario, según un nuevo análisis de la firma de ciberseguridad Cleafy.

Cleafy afirma que los objetivos de Albiriox abarcan una amplia gama de plataformas financieras, incluyendo bancos tradicionales, aplicaciones fintech, procesadores de pago, exchanges de criptomonedas, billeteras móviles y plataformas de trading. Su amplio alcance indica un esfuerzo deliberado por comprometer tanto a usuarios financieros tradicionales como a quienes poseen activos digitales.

El malware se propaga a través de aplicaciones falsas que se hacen pasar por legítimas, como una app falsa de “Penny Market” desde páginas falsas de Google Play, a las que las personas acceden mediante enlaces SMS y deben otorgar permisos para instalar antes de que se descargue el virus.

Lo que hace que Albiriox sea particularmente peligroso es su alineación con el Fraude en el Dispositivo (ODF), una clase de malware móvil en rápida expansión que opera dentro de la sesión autenticada de la víctima. Cleafy informa que el troyano utiliza una combinación de control remoto basado en VNC, abuso de servicios de accesibilidad, superposiciones de pantalla dirigidas y recolección dinámica de credenciales.

En conjunto, estas capacidades permiten a los atacantes eludir controles biométricos, autenticación de dos factores y otras salvaguardas de detección de fraude, comportándose como si fueran el usuario legítimo.

Una vez que el malware obtiene permisos de accesibilidad, los atacantes pueden navegar el dispositivo en tiempo real, iniciar transferencias, vaciar billeteras de criptomonedas o aprobar transacciones de alto riesgo sin activar alertas de seguridad habituales. Debido a que la actividad se origina desde el propio dispositivo de la víctima, los bancos y exchanges pueden tener dificultades para detectar el fraude hasta después de que los fondos hayan sido robados.

Cleafy concluye que Albiriox representa un cambio significativo en el cibercrimen móvil, con actores de amenazas priorizando cada vez más malware enfocado en ODF capaz de comprometer de manera persistente y total el dispositivo.

De cara al futuro, los investigadores advierten que el sector financiero y especialmente los usuarios de criptomonedas deben esperar más ataques que dependan del secuestro de sesiones en tiempo real en lugar de los métodos tradicionales de phishing o robo de credenciales.

Generated Image: Midjourney