Cuidado con MaliBot: este virus ruso puede robar cuentas de Santander y CaixaBank
MaliBot es la última amenaza que acecha a los usuarios de Android en España: puede robar las claves de acceso a los principales bancos.
FluBot logró poner en peligro a millones de personas en todo el mundo al ser un virus dirigido a Android capaz de tomar el control total de los dispositivos, y acceder a datos sensibles, incluyendo claves de acceso a aplicaciones financieras. Su desaparición, confirmada por la Europol, parecía haber llegado para darnos una tregua, pero todo parece indicar que el sucesor de FluBot ya es una realidad.
Ha sido bautizado como MaliBot por la firma especializada en ciberseguridad F5, encargada de descubrirlo mientras se llevaba a cabo el seguimiento del troyano FluBot. Dicha empresa asegura que se trata de un malware dirigido principalmente a usuarios de dos de las principales entidades financieras en España: Santander y CaixaBank.
El troyano se hace pasar por apps populares, como Chrome
Los investigadores de F5 han podido determinar que el origen del troyano está en Rusia, país desde el que se controla la propagación de MaliBot. Las primeras campañas datan de junio de 2020, y se trata de una versión modificada de un malware ya conocido: SOVA.
Entre sus capacidades, se incluye el robo de códigos de verificación multifactor y de un solo uso, robo de mensajes de texto, borrado de aplicaciones, recopilación de datos sensibles e incluso la capacidad de saltarse el sistema de verificación en dos pasos de Google.
Se ha descubierto que las campañas con este malware como protagonista están centradas, principalmente, en Italia y España. En estos países, los autores han distribuido su virus a través de páginas web que incitaban a los usuarios a descargar aplicaciones infectadas. Entre dichas apps se encontraban clones falsos de herramientas populares como Google Chrome, así como aplicaciones de criptomonedas.
Con el objetivo de propagarse aún más entre dispositivos, una vez el dispositivo de la víctima ha sido infectado, MaliBot se aprovecha de sus permisos para acceder a la lista de contactos del usuario y enviar mensajes SMS con enlaces que contienen el archivo APK del virus. Esta forma de actuar es conocida como "smishing".
Al obtener permisos privilegiados en el dispositivo, como el acceso a las APIs de accesibilidad de Android, MaliBot tiene la capacidad de realizar acciones en el dispositivo sin necesidad de interacción por parte del usuario. Esto, según los atacantes, hace que MaliBot sea un virus dirigido principalmente al robo de información sensible y relacionada con entidades financieras.
De hecho, se ha descubierto que el malware cuenta en su código con una lista de aplicaciones de bancos objetivo, entre las que es posible encontrar CaixaBank y Santander de España, y UniCredit de Italia. También se han descubierto técnicas de robo de criptomonedas de carteras alojadas en plataformas como Binance o Trust Wallet.
Aunque a día de hoy la amenaza acecha sobre todo a usuarios de España e Italia, se espera que, con el paso de las semanas, MaliBot amplíe sus objetivos y surjan nuevas campañas dirigidas a otras regiones del mundo. Los investigadores recomiendan evitar la descarga de aplicaciones de fuentes externas a Google Play Store, e ignorar los mensajes SMS provenientes de fuentes no fiables.