Los analistas de ThreatFabric, empresa especializada en ciberseguridad y detección de malwares, alertaron a los usuarios de Android sobre la presencia de un peligroso virus llamado Xenomorphe. La primera app contenedora de esta amenaza apareció en Google Play Store a fines de enero de 2022 y hay casi una treintena de aplicaciones infectadas que siguen en su catálogo.
Los expertos en seguridad digital informaron que este troyano se esconde por lo menos en 28 apps que aún están disponibles en Google Play Store. Una vez descargado, ataca las aplicaciones bancarias del usuario, en especial de bancos como BBVA y Santander, entre otros.
De acuerdo con el informe, Xenomorphe se distribuye tanto por SMS como por la tienda de apps de Google. Una de las aplicaciones infectadas con el virus que estaba en el catálogo de Play Store era ‘Fast Cleaner’, que tiene el nombre de paquete vizeeva.fast.cleaner. Esta ya fue retirada de la tienda, luego de registrar más de 50 mil descargas.
Este malware se ha distribuido principalmente en Europa, siendo España donde se han detectado mayor cantidad de ataques. También tiene presencia en Italia y Bélgica y los especialistas advierten que de no contener rápido pronto se extenderá a otros territorios.
Los clientes de servicios digitales de BBVA han sido los más afectados, tanto en España como en Portugal, según datos de Sensor Tower, una firma de inteligencia de mercado de aplicaciones móviles.
Los investigadores explicaron que una vez que se instala en el dispositivo, accede a los SMS para interceptar las notificaciones y conseguir los tokens de autenticación en dos pasos recibidos por mensaje de texto. También filtra una lista de todas las aplicaciones instaladas a un servidor remoto.
Sin embargo, el verdadero peligro está en que puede cambiar el icono y la interfaz de la app que lo contiene, para ‘disfrazarse’ como la aplicación de tu banco. Así, los usuarios abren el troyano pensando que es su app bancaria normal, e ingresan sus datos sin pensar que se los están entregando a un hacker.
Entre los encantos de Xenomorphe destaca su capacidad para engañar a las víctimas y hacer que le otorguen privilegios de Accesibilidad. A la par, abusa de los permisos para fingir ataques y abrir falsas pantallas de inicio de sesión sobre aplicaciones específicas, para robar los datos del usuario. El malware también se ha hecho pasar por servicios de correo electrónico y billeteras de criptomonedas.
Otro punto preocupante es que, mientras analizaban el código fuente de Xenomorphe, los expertos notaron que apenas se trata de la versión beta del virus. Es decir, que el malware ya tiene programadas varias funciones que no se han activado, detallan desde la empresa de ciberseguridad. También significa que los creadores del troyano todavía están desarrollando la versión final y ésta, que ya ha causado cuantiosos daños, solo es una prueba.
“A pesar de ser un trabajo en progreso, Xenomorphe ya luce superposiciones efectivas y se distribuye activamente en las tiendas de aplicaciones oficiales”, dijo en el comunicado Han Sahin, fundador y director ejecutivo de ThreatFabric.
En las reseñas de las aplicaciones infectadas, otros usuarios alertan sobre el peligro; un recordatorio más de que conviene leer los comentarios antes de descargar o comprar cualquier cosa online.
No cabe duda que los hackers cada vez encuentran formas más creativas para robar las cuentas digitales de las personas, como los ciberdelincuentes que enviaron USBs llenos de malwares como ‘regalos’ en la pasada temporada de Fin de Año.
