Los investigadores de seguridad informática de ThreatFabric han detectado una nueva amenaza que está siendo dirigida a los usuarios de smartphones con sistema operativo Android.

Su nombre es MysteryBot, y está clasificado como una amenaza crítica porque es capaz de realizar modificaciones peligrosas en el sistema, muchas de las cuales están relacionadas con la seguridad del dispositivo y la privacidad de los usuarios.

ThreatFabric afirma que MysteryBot parece guardar relación con el conocido troyano bancario para Android ‘LokiBot’. Esto se debe a que el nuevo malware está basado en el código con el que fue escrito el bot. Asimismo, se supo que MysteryBot envía datos a los mismos servidores utilizados en la campaña de LokiBot, lo que sugiere que está desarrollado por la misma persona o grupo de hackers.

La firma reveló que este nuevo malware es único en muchos aspectos, si se compara con LokiBot u otros malware bancarios de Android como Anubis II, CryEye o ExoBot 2.5. Además, se trata de un malware que puede operar en Android 7 y Android 8, siendo el primero de su tipo en hacerlo, según la firma.

Con respecto a su funcionamiento, MysteryBot utiliza pantallas superpuestas para mostrar páginas de inicio de sesión falsas en aplicaciones legítimas. Las características de seguridad que los desarrolladores incorporaron a Android 7 y 8, impedían que cualquier malware mostrara pantallas superpuestas en estas versiones, sin embargo, este nuevo malware lo ha logrado.

Al parecer, los malware anteriores tenían problemas de superposición de pantalla en el momento adecuado en el que el usuario iniciaba sesión en una app. En el caso de este nuevo malware, los hackers encontraron una forma de sincronizar las pantallas superpuestas en el momento correcto, al aprovecharse del permiso PACKAGE_USAGE_STATS de Android, que filtra detalles sobre las apps recientemente abiertas por el usuario.

En este sentido, el malware es capaz de afectar a más de 100 apps en total, y los investigadores esperan que refuerce sus capacidades en las próximas semanas. Una de las características más sorprendentes de este código malicioso es que cuenta con componentes de keylogger, lo que le permite tomar capturas de pantalla cuando la víctima utiliza el teclado táctil para escribir contraseñas u otro tipo de datos. Sin embargo, los investigadores afirman que este componente no ha sido utilizado hasta ahora.

Finalmente, MysteryBot cuenta con un módulo de ransomware, que permite a los hackers bloquear todos los archivos del usuario que están guardados en la memoria externa del smartphone. El ransomware no encripta los archivos, sino que los bloquea en un archivo ZIP protegido por contraseña.

Este peligroso malware ha sido visto disfrazado de aplicación de Adobe Flash Player para Android, por lo que los expertos advirtieron que todas las apps de este tipo que encuentren dentro y fuera de las tiendas de aplicaciones son malware. A pesar de que MysteryBot actualmente no se ha detectado en plena acción, lo cierto es que podría propagarse indefinidamente.

Como recomendación, los investigadores afirmaron que se debe evitar descargar apps para Android fuera de la Play Store, sobre todo aquellas que desean permisos de Accesibilidad. MysteryBot es una de ellas, por las que debemos permanecer atentos a cualquier movimiento inusual o recomendación de descarga en nuestros dispositivos.