Los usuarios del sistema operativo móvil de los de Mountain View no escapan de las estafas y en esta ocasión los ciberdelincuentes se han valido de una actualización falsa a Android Marshmallow para instalar malware en los terminales y tabletas. La amenaza se está distribuyendo haciendo uso de anuncios que se muestran en páginas web legítimas.
Se ha utilizado una enorme variedad de ganchos a lo largo de los años pero haciendo memoria no recordamos recientemente ninguna que utilice las actualizaciones del sistema operativo del Gigante de Internet. Estas han cobrado desde hace tiempo especial interés para los usuarios, sobre todo porque hay muchos que no pueden actualizar a las versiones más recientes vía OTA y recurren a Internet para encontrar alternativas y así conseguir las últimas versiones.
Android/Dmisk, que así es como lo han identificado, se detectó por primera vez a mediados del pasado mes, aunque tras varias investigaciones han determinado que la campaña se remonta a mediados del mes de enero pero haciendo uso de otro tipo de amenazas, en casi todas las ocasiones adware y algún que otro troyano, afectando a usuarios con sistemas operativos Windows. Sin embargo, las tornas han cambiado y ahora los ciberdelincuentes han tomado la decisión de centrarse en los dispositivos móviles.
Cuando los usuarios acceden al contenido a través de estos anuncios, se produce la descarga del archivo Android_Update_6.apk, pareciendo a simple vista una actualización que se distribuye a través de servicios de anuncios, por lo que es probable que los ciberdelincuentes se hayan valido de alguna vulnerabilidad en estos para utilizarlos como herramienta de difusión. Como consecuencia, sitios web legítimos han distribuido malware desde hace varios meses y en las últimas semanas este troyano para Android.
Ejecutar este archivo provoca la instalación de la aplicación Android Update 6, simulando una actualización a la última versión del sistema operativo de Google.
De Android Marshmallow a un troyano bancario
La amenaza trata de recopilar información sobre aplicaciones bancarias, sobre todo de credenciales de acceso y códigos de confirmación gracias a un especie de keylogger que almacena las pulsaciones sobre la pantalla. Además de esto, se mantiene a la escucha de lo mensajes de texto entrantes, medio de confirmación de operaciones de muchas entidades bancarias. Los expertos en seguridad también han observado que de forma periódica la amenaza envía la información recopilada a un servidor remoto.
Como último apunte, la amenaza está destinada a afectar sobre todo a usuarios europeos, y afirman que en las próximas semanas es probable que la campaña se intensifique.