Expertos en seguridad informática han descubierto una nueva versión del troyano bancario para Android llamado Faketoken, la cual se dirige a los usuarios de aplicaciones populares para reservar taxis y pagar multas de tráfico.
Los investigadores, pertenecientes a Kapersky Lab, afirman que este malware cuya primera aparición fue descubierta hace un año, se ha actualizado para incluir mecanismos de acción más dañinos con la finalidad de robar los datos de las tarjetas de crédito con las que los usuarios pagan el servicio de taxi.
En una publicación realizada a través del blog de Kapersky Lab el día de ayer, el investigador Victor Chebyshev escribió lo siguiente:
Los autores de las modificaciones más recientes continúan actualizando el código malicioso, mientras que su distribución geográfica sigue creciendo.
En este sentido, el año pasado Kapersky informó que una modificación de Faketoken había atacado a más de 2.000 aplicaciones bancarias en todo el mundo. Chebyshev informó, que gracias a sus contactos en un importante banco de Rusia, pudieron detectar una nueva versión del troyano (faketoken.q), que contenía una serie de características diferentes a su primera versión.
El nuevo Faketoken utiliza las aplicaciones para reservar servicios de taxi en Rusia y otras aplicaciones relacionadas al pago de multas de tráfico, emitidas por la principal autoridad vial del país. Los investigadores han afirmado que aún no han podido reconstruir la cadena de acción utilizada por los creadores del malware para atacar a los usuarios. Sin embargo, piensan que Faketoken se introduce mediante mensajes SMS que incluyen una opción para descargar imágenes.
Luego de que el troyano es puesto en marcha, se esconde en un ícono de acceso directo y toma control de las llamadas y las aplicaciones utilizadas por el usuario. Kapersky Lab dijo que cuando el usuario recibe una llamada, el malware graba la conversación y la envía a los hackers, quienes mantienen las características de superposición del malware.
Esto significa que Faketoken es capaz de superponer varias aplicaciones Android de pago, como Google Play Store y las mencionadas aplicaciones para reserva de taxis, pago de multas de tráfico, y en algunos casos, reserva de vuelos y habitaciones de hotel. Luego de que el usuario inicia una de estas aplicaciones, el malware sustituye la interfaz de usuario y solicita a las personas ingresar sus datos bancarios.
El movimiento ocurre de forma inmediata, y el usuario no puede detectar la interfaz de usuario falsa ya que los colores son idénticos a la de la aplicación original. Los investigadores advierten que a medida que millones de personas instalan estas aplicaciones, el riesgo de vulnerabilidad aumenta considerablemente.
Los hackers pueden eludir incluso la medida de seguridad de los bancos, que envía al usuario un código único con la finalidad de procesar su pago, ya que Faketoken toma control de los mensajes de texto entrantes y los retransmite para perpetrar el robo. Según los expertos, esta nueva versión del malware aún no parece estar terminada, porque sus superposiciones de pantalla aún contienen detalles de formato que pueden representar una señal de alerta a los usuarios.
