Recientemente se descubrió un nuevo ataque cibernético que hasta el momento ha afectado a más de 10 millones de personas cuyos dispositivos cuentan con Android como sistema operativo. De acuerdo con Zimperium zLabs, una empresa especializada en ciberseguridad, los ataques se han realizado con aplicaciones del sistema operativo móvil de Google como fachada, registrando hasta la fecha cientos de millones de euros robados por el virus responsable de este hackeo.
“Si bien las estafas típicas de servicios premium aprovechan las técnicas de phishing, esta estafa global específica se ha ocultado detrás de aplicaciones maliciosas de Android que actúan como troyanos, lo que le permite aprovechar las interacciones del usuario para aumentar la propagación y la infección”, explica la empresa por medio de un comunicado oficial.
Según la información de la compañía, el modus operandi de este malware es sencillo: el usuario descarga la aplicación a su celular y sin darse cuenta el virus troyano inicia su tarea en el dispositivo suscribiéndose a un servicio premium. Sin embargo, muchas veces sin notarlo mes tras mes empieza a recibir cobros automáticos por el fraudulento servicio haciéndolo perder dinero de forma paulatina.
“La evidencia forense de este ataque de troyano Android activo, que hemos llamado GriftHorse, sugiere que el grupo de amenazas ha estado ejecutando esta campaña desde noviembre de 2020. Estas aplicaciones maliciosas se distribuyeron inicialmente a través de Google Play y tiendas de aplicaciones de terceros”, añadió Zimperium.
Asimismo, los expertos encargados del hallazgo aseguraron que en cuanto descubrieron lo que estaba sucediendo con GriftHorse notificaron a Google del problema. Tras verificar lo sucedido, el gigante tecnológico eliminó inmediatamente las aplicaciones infectadas con el troyano de su catálogo en Google Play Store.
No obstante, aunque así parezca, Google no tiene el control de todo el internet por lo que aún no ha podido acabar totalmente con estas aplicaciones que aún residen en algunos “repositorios de aplicaciones de terceros no seguras”. En síntesis, aunque Google ya haya tomado cartas en el asunto en su tienda móvil, no puede hacer nada frente a las tiendas de terceros que existen en la web y a las que ingresan cientos de personas a diario.
Una tarea de ingeniería social
Como si fuera poco, el éxito de esta actividad también radica en la forma en que los ciberdelincuentes han configurado su malware con el fin de que sea personalizable para cada usuario de acuerdo al lenguaje y zona geográfica en la que vive.
“La campaña se ha dirigido a millones de usuarios de más de 70 países al ofrecer páginas maliciosas selectivas a los usuarios en función de la ubicación geográfica de su dirección IP con el idioma local. Este truco de ingeniería social tiene un éxito excepcional, ya que los usuarios pueden sentirse más cómodos compartiendo información en un sitio web en su idioma local”, señala el documento.
Seguido a la obtención de la confianza de las víctimas, las aplicaciones empiezan a bombardear con ventanas emergentes que aparecen no menos de cinco veces cada hora, hasta que cansada de la insistencia de la app la persona termina aceptando un supuesto premio que debe reclamar de forma inmediata.
“Al aceptar la invitación para el premio, el malware redirige a la víctima a una página web geoespecífica donde se les pide que envíen sus números de teléfono para su verificación. Pero en realidad, están enviando su número de teléfono a un servicio de SMS premium que comenzaría a cobrar su factura telefónica a más de 30 euros al mes. La víctima no se da cuenta de inmediato del impacto del robo, y la probabilidad de que continúe durante meses antes de la detección es alta, con poco o ningún recurso para recuperar el dinero”, añade el informe.
Para poder ver la lista completa de aplicaciones que contienen el troyano Android GriftHorse diríjase al documento original de este estudio: blog.zimperium.com/grifthorse-android-trojan-steals-millions-from-over-10-million-victims-globally
Comentarios