De nuevo hacemos referencia al sistema operativo Android y otra vez es para hablar de una amenaza que ha sido encontrada afectando a los usuarios. De nuevo tenemos que hablar de un troyano que ha sido bautizado con el nombre de Xbot que está robando la información bancaria introducida en los dispositivo y cifrando el contenido, dejándolo inaccesible.
En esta ocasión la amenaza se ha encontrado en 22 aplicaciones distribuidas por tiendas no oficiales. Para los usuarios que nos siguen a diario no debe parecer raro esta forma de difundir los virus, ya que cada vez es más común encontrar malware empaquetado para que no despierte sospechas entre los usuarios y que estos procedan a su instalación. A todo esto, es conveniente añadir que la amenaza recibe actualizaciones con mucha frecuencia y en la actualidad es capaz de simular de forma satisfactoria el formulario de inicio de sesión de una gran cantidad de entidades bancarias.
Pero esta no es la única cualidad que posee este troyano. Además permite el bloqueo del dispositivo de forma remota, robar mensajes de texto e información de contactos y recopilar mensajes que contienen códigos que sirven para confirmar operaciones realizadas con las entidades bancarias. Hoy en día es bastante habitual que los usuarios se ayuden de su dispositivo móvil para validar este tipo de operaciones y los ciberdelincuentes se han visto obligados a pensar cómo se podría captar esta información.
Xbot afecta a los dispositivos Android con versiones previas a la 5.0
La situación se agrava si vemos qué dispositivos podrían verse afectados por esta amenaza. Teniendo en cuenta que el malware se beneficia de algunas funciones de la API de Android para de alguna manera suplantar la identidad de aplicaciones instaladas y mostrar al usuario un formulario de inicio de sesión falsos en el que este introducirá las credenciales que posteriormente se recopilarán en un servidor propiedad de los ciberdelincuentes.
En Google se han percatado de que algunas funciones del sistema operativo podían ser un problema y han tomado medidas en la 5.0 y sucesivas, pero ¿qué sucede con los usuarios que no pueden actualizar a estas versiones?. Pues lamentablemente estarán afectados por el problema y expuestos a la amenaza de forma indefinida.
Todo esto es capaz de realizar la amenaza con permisos limitados, el problema aumenta de magnitud si cuando en una de las numerosas ocasiones en las que solicita permisos de administrador se concede este privilegio, permitiendo modificar la contraseña de desbloqueo del terminal, activa el «modo silencio» y se hace pasar por CryptoLocker solicitando el pago de una cantidad para recuperar el acceso al terminal Android.
Fuente | SecurityWeek