#Ciberseguridad – ANTIDOT – Troyano bancario para Android imita una actualización de Google Play

Standard

Por BTR Consulting

Se trata de un sofisticado malware denominado «Antidot» se hace pasar por una aplicación de actualización de Google Play y muestra una página de actualización de Google Play falsa durante la instalación. Esta página de actualización falsa ha sido diseñada en varios idiomas, incluidos alemán, francés, español, ruso, portugués, rumano e inglés. Esto sugiere que el malware se dirige a usuarios de Android en diferentes regiones (Fuente BTR Consulting).

¿Cómo funciona?

 En la página de actualización falsa, un botón «Continuar» redirige al usuario a la configuración de Accesibilidad del dispositivo Android.

Una vez que el usuario otorga acceso al servicio, el malware envía el primer «mensaje ping» al servidor junto con los datos codificados en Base64, que contienen entre otras cosas lo siguiente:

– Nombre de la aplicación de malware

– Versión del kit de desarrollo de software (SDK)

– Modelo de teléfono

– Fabricante del teléfono

– Código de idioma y país

– Lista de paquetes de aplicaciones instaladas

En segundo plano «Antidot» inicia la comunicación con su servidor. Además de la conexión HTTP, el troyano establece comunicación WebSocket, que permite la comunicación bidireccional en tiempo real entre el servidor y el cliente. El malware mantiene esta comunicación entre el servidor y su cliente mediante mensajes “ping” y “pong”.

Una vez que el servidor genera la ID del bot, el troyano envía estadísticas del bot al servidor y recibe comandos. El malware ha implementado un total de 35 comandos, incluida la recopilación de mensajes SMS, el inicio de solicitudes USSD e incluso el control remoto de funciones del dispositivo como la cámara y el bloqueo de pantalla. 

Antidot incorpora varias características que le permiten implementar una variedad de actividades maliciosas, que incluyen:

Registro de teclas, Ataque de superposición, Grabación de pantalla, Reenvío de llamadas, Recopilar contactos y SMS, Realizar solicitudes de USSD, Bloquear y desbloquear el dispositivo.

Recomendaciones:

– Instalar software únicamente desde tiendas de aplicaciones oficiales.

– Utilizar antivirus.

– Utilizar contraseñas seguras y autenticación multifactor (MFA).

– No abrir enlaces por SMS/whatsapp o email.

– Habilitar Google Play Protect en dispositivos Android.

– Vigilar los permisos otorgados a una aplicación.

– Mantener los dispositivos, sistemas operativos y aplicaciones actualizados.