Algún día nos gustaría decir que se acabó el malware en los dispositivos móviles, pero mientras haya incautos y dinero por medio, los ciberdelincuentes seguirán en lo suyo. Prueba de ello es la reciente detección en España de Malibot, un troyano que roba tu cuenta de Google y datos bancarios que se instala a través de dos apps aparentemente legítimas y por SMS. ¿Quieres saber un poco más sobre este nuevo malware para protegerte? Entonces sigue leyendo para aprender lo que no debes hacer para evitar infectar tu móvil.
Malibot se hace pasar por apps de criptomonedas o por tu banco para instalarse en tu Android
Aunque ya existen numerosos troyanos que buscan robar tus datos bancarios, credenciales de Google o servir como puerta trasera para instalar apps maliciosas, hoy se suma uno más a la lista. Gracias al trabajo de F5 Labs, hoy sabemos que un nuevo malware llamado Malibot está haciendo estragos en España e Italia.
Como cualquier otro troyano, Malibot se hace pasar por una aplicación legítima para instalar código malicioso en Android. En este caso, su principal método de distribución es a través de dos aplicaciones para hacer seguimiento a tus criptomonedas favoritas. Concretamente, estas:
- TheCryptoApp: que es una app legítima que está disponible en Google Play, pero su página web ha sido clonada. Sí, así como lo lees, los atacantes crearon una copia fiel de la web de esta aplicación que envía a los usuarios con móviles Android a descargar una copia maliciosa de TheCryptoApp infectada con Malibot.
- Mining X: una app maliciosa creada a medida que también se distribuye a través de una página web. Cuando los usuarios visitan el portal con su dispositivo Android y presionan el enlace para descargar la supuesta app, son enviados a una nueva página con un código QR que al escanearlo descarga Malibot en el dispositivo.
Y si esto no fuese suficiente, Malibot también se está distribuyendo a través de smishing, un método muy clásico. Los atacantes te envían un SMS haciéndose pasar por tu banco y notificándote de un problema con tu cuenta. Dicho mensaje contiene un enlace que envía a una web que descarga e instala el troyano en tu dispositivo. Pero a todas estas… ¿qué es lo que hace Malibot?
Malibot roba datos de tu cuenta de Google, tus cripto billeteras, claves 2FA y más
Ya conoces cómo se distribuye e instala Malibot en tu móvil, pero falta hablar de lo que es capaz de hacer y no te gustará. Este troyano es uno de los más completos que conocemos, incluso por encima de SMSFactory, ERMAC o el virus BRATA, y eso ya es bastante. Según los hallazgos de F5 Labs, Malibot es capaz de:
- Robar tus credenciales de Google: al abrir una app de Google en tu móvil, el troyano usará WebView para que se ejecute una página web de inicio de sesión con la que robará tus datos.
- Interceptar tus códigos de autenticación multi-factor: si eres de utilizar doble autenticación en tu móvil, Malibot es capaz de interceptar tus códigos y utilizarlos a discreción.
- Reconoce tu lista de aplicaciones para usarlas en tu contra: Malibot es capaz de identificar las aplicaciones que tienes instaladas en Android y enviarla al atacante para que este inyecte código malicioso en aquellas que puedan serle útiles (como las apps de bancos). También permite eliminar o ejecutar apps discrecionalmente.
- Roba el dinero de tus billeteras de criptomonedas: es capaz de saber cuánto dinero tienes en Binance y Trust Wallet. Esta información es enviada a un servidor C2 (control y mando) con el que el atacante puede decidir qué hacer con esas apps. En el caso de Binance, inyectar código malicioso; y en el caso de Trust Wallet, captar tu frase semilla para (en ambos casos) vaciar tus cuentas.
- Puede grabar lo que haces en tu móvil y reconocer mucha información: a través de una plataforma VNC, Malibot permite que el atacante sepa lo que estás haciendo con tu móvil y es capaz de grabar dichas acciones. Además, este troyano recolecta todo tipo de información en el camino: dirección IP, Android ID, modelo de móvil, idioma, códigos de bloqueo y más.
- Más smishing: Malibot es capaz de enviarte SMS falsos con enlaces para suscribirte a servicios premium sin tu consentimiento.
La historia de Malibot apenas comienza, todavía queda mucho por saber de este troyano
Malibot es un troyano muy peligroso, que además cuenta con numerosos métodos para pasar inadvertido (y la mayoría todavía no se usa), según F5 Labs. De momento, los principales focos de infección están en España e Italia, pero algunos hallazgos apuntan a que el nuevo objetivo será Estados Unidos.
F5 Labs descubrió un par de dominios web que utilizan el mismo modus operandi para distribuir Malibot: el primero, haciéndose pasar por un explorador de proyectos NFT llamado TrustNFT; el segundo, un portal que se hace pasar por una aplicación que ofrece información sobre el COVID-19. ¿Cómo saben que el mercado americano es el que está en la mira? Porque ambos dominios contienen información sobre impuestos estadounidenses.
Ahora bien, ¿cómo puedes cuidarte de este peligroso troyano? Con un buen antivirus, siendo cauto, evitando instalar apps desde fuentes desconocidas, etc. Vamos, las recomendaciones de siempre, pero en este caso debes ser más precavido porque se sabe muy poco sobre este malware y podría ser muy difícil de eliminar si infecta tu móvil.
