Investigadores dela empresa de ciberseguridad Cleafy descubrieron un nuevo ‘malware‘ denominado DroidBot integrado a 77 aplicaciones bancarias, servicios de intercambio de criptomonedas y entidades relacionadas para el sistema operativo Android.
Este agente malicioso no ha sido identificado con alguna familia de malware conocida, por lo que fue clasificado con el nombre DroidBot, basándose en un nombre de dominio utilizado por este malware, escribió la compañía de seguridad digital este jueves en un reporte detallado de la amenaza.
Con corte al 4 de diciembre, Se han observado campañas activas en países como Reino Unido, Italia, Francia, España y Portugal, lo que indica una posible expansión a América Latina, según Clearfy.
Por otro lado, las inconsistencias observadas en múltiples muestras indican que este software malicioso aún se encuentra en desarrollo activo. “Esto sugiere esfuerzos en curso para mejorar la eficacia del malware y adaptarlo a entornos específicos”, de acuerdo con los expertos.
La campaña de este troyano se ha vinculado a Turquía, lo que refleja una tendencia más amplia de adaptación de tácticas y enfoque geográfico, según los investigadores.
DroidBot es un troyano sofisticado de acceso remoto que combina el uso compartido de pantalla remota de Virtual Network Computing (VNC) con funciones que suelen asociarse con ‘software’ espía (‘spyware’), según el equipo de Cleafy.
Para atraer a las víctimas y que descarguen este ‘malware‘, los ciberdelincuentes utilizan señuelos comunes que se usan en campañas de distribución de virus bancario. De esa manera, se disfraza de aplicaciones de seguridad genéricas, servicios de Google o ‘apps’ bancarias populares.
Esta amenaza incluye un ‘keylogger‘ y rutinas de monitorización. De esa manera, una vez se haya instalado en el dispositivo, puede interceptar mensajes SMS entrantes de instituciones financieras, cuando envían números de autenticación de transacciones.
Además, puede tener acceso a las interacciones del usuario con la pantalla. “Gracias a esto, los ciberdelincuentes pueden robar tanto su información personal como sus credenciales”, según Cleafy.