Este malware de Android se ejecuta automáticamente y puede robar datos sensibles

Los investigadores de ciberseguridad de McAfee han descubierto que una versión actualizada del malware de Android, XLoader, puede iniciarse automáticamente en teléfonos inteligentes Android infectados después de la instalación sin necesidad de interacción del usuario.

XLoader, también conocido como MoqHao, es una cepa de malware que probablemente fue creada por un actor de amenazas motivado financieramente llamado ‘Roaming Mantis’.

Este malware se distribuye principalmente a través de enlaces de URL acortadas en mensajes de texto en dispositivos Android, que, al hacer clic, redirigen a un sitio web para descargar un archivo de instalación APK de Android para una aplicación móvil.

Esto permite que el malware se ejecute silenciosamente en segundo plano y extraiga información personal y privada de dispositivos comprometidos, incluyendo metadatos del dispositivo, fotos, mensajes de texto, listas de contactos, números de llamada específicos en modo silencioso y potencialmente información bancaria, entre otras cosas.

“El MoqHao típico requiere que los usuarios instalen y lancen la aplicación para obtener su propósito deseado, pero esta nueva variante no requiere ejecución. Mientras la aplicación está instalada, su actividad maliciosa comienza automáticamente”, explica McAfee, un socio de la Alianza de Defensa de Aplicaciones de Android, en un informe publicado esta semana.

“Ya hemos informado de esta técnica a Google y ya están trabajando en la implementación de mitigaciones para prevenir este tipo de auto-ejecución en una futura versión de Android.”

Para engañar al usuario, el malware se disfraza como una aplicación legítima, a menudo pretendiendo ser el navegador web Google Chrome. Utiliza cadenas Unicode en los nombres de las aplicaciones para ofuscación, lo que le permite buscar permisos arriesgados en el dispositivo, como enviar y acceder al contenido de SMS, y poder ejecutarse siempre en segundo plano al agregar una exclusión de la Optimización de Batería de Android.

Además, la falsa aplicación de Chrome también pregunta a los usuarios si desean configurarla como la aplicación de SMS predeterminada bajo el pretexto de que hacerlo ayudará a prevenir el spam.

Además, el malware también emplea mensajes de phishing, cuyo contenido se extrae del campo de bio (o descripción) de perfiles fraudulentos de Pinterest, que luego se envían a teléfonos inteligentes infectados para evadir la detección por software antivirus.

Si el malware no puede acceder a Pinterest, utiliza mensajes de phishing codificados que notifican a las posibles víctimas que hay algo sospechoso con su cuenta bancaria y que necesitan tomar medidas inmediatas.

Los investigadores de McAfee notaron que algunos mensajes emergentes maliciosos mostrados solicitando permisos estaban en inglés, coreano, francés, japonés, alemán e hindi, lo que también indica los objetivos actuales de XLoader. Creen que, además de Japón, el malware también está apuntando a usuarios de Android en Corea del Sur, Francia, Alemania e India.

Para mantenerse protegido del malware XLoader, se aconseja a los usuarios no instalar aplicaciones de fuentes no oficiales o abrir URL cortas en mensajes de texto y ser muy cautelosos al otorgar permisos a las aplicaciones que instalan. Además, limite el número de aplicaciones instaladas en su teléfono Android e instale aplicaciones solo de desarrolladores de buena reputación.

Además, habilite Google Play Protect en su teléfono inteligente Android para que pueda escanear todas sus aplicaciones actuales y cualquier nueva aplicación que descargue en busca de malware.

También considere instalar software antivirus adicional para Android para mayor seguridad.