Trojan-Banker.AndroidOS.Faketoken. Es una viejo conocido en Android, puesto que su existencia se conoce desde más de un año, pero lo que todavía se desconocía es cómo sus creadores han sido capaces de actualizar el marware para convertirlo en uno mucho más sofisticado y peligroso. Tanto que, los expertos en ciberseguridad están alertando del peligro de este malware para los datos (y las cuentas bancarias) de los usuarios afectados.
SecureList ha analizado el malware, y aunque todavía están profundizando en su código, han aprendido unas cuantas cosas de este enorme problema de seguridad para los usuarios de Android, que empieza por un problema más grave todavía: los expertos desconocen la cadena de eventos que conducen a la infección, pero sí que creen que el malware se coló en teléfonos inteligentes a través de mensajes SMS masivos con un mensaje para descargar algunas imágenes, un clásico.
Pero ¿por qué es tan peligroso si ya se conoce? Pues básicamente, aunque los expertos conocen la existencia de Trojan-Banker.AndroidOS.Faketoken, e incluso está en la lista de antivirus para Android, se desconoce la virulencia que tiene la nueva versión y, sobre todo, ha sorprendido tanto su funcionamiento como la intención que tiene el malware:
Tras instalarse en el sistema, ocultarse a sí mismo y ponerse en marcha, comienza a supervisar todas las llamadas y las aplicaciones que el usuario inicie. Al hacer o recibir una llamada de un cierto número de teléfono, el malware comienza a grabar la conversación y la envía a un servidor desconocido, sobre todo si tiene que ver con números bancarios.
Y eso no es lo más peligroso: el malware es capaz de superponerse a varias aplicaciones bancarias, como las de tu banco o Android Pay, Google Play Store, o aplicaciones para pagar multas de tráfico, parquímetro u otras más inocentes como las de reservar vuelos, habitaciones de hotel... o simples taxis.
De esta forma, monitorea las aplicaciones activas y, tan pronto como el usuario lanza una específica, sustituye su interfaz de usuario por una falsa, solicitando a la víctima que ingrese sus datos de la tarjeta bancaria. La sustitución sucede instantáneamente, y los colores de la interfaz de usuario falsa corresponden a los de la aplicación original, roba los datos de la tarjeta de crédito, los datos personales y de pago y los envía a un servidor remoto.
https://hipertextual.com/archivo/2013/07/vulnerabilidad-en-android-bluebox/
Y no importa si las compras con tarjeta hay que autorizarlas por SMS: el malware monitoriza el SMS, copia los códigos, los envía a un servidor remoto y borra el mensaje. El usuario nunca se enterará hasta que ve disminuir el saldo de su cuenta con compras autorizadas por él.