Otro troyano bancario para Android con la capacidad de realizar transferencias de dinero instantáneas no autorizadas está apuntando a los bancos brasileños como parte de una tendencia creciente entre los actores de amenazas para explotar un nuevo sistema de pago automatizado en América Latina.
El nuevo GoatRAT, como BraxDex, Senomorphy y pixpirate antes que él: roba la clave Pix de los dispositivos móviles a los que se dirige para realizar pagos instantáneos desde cuentas comprometidas, investigadores de Cyble revelado en una publicación de blog. Los atacantes detrás de GoatRAT usan esa clave para acceder a la plataforma de pago Pix, creada y operada por el Banco Central de Brasil para que los usuarios realicen pagos móviles instantáneos en toda América Latina utilizando una variedad de bancos.
Hasta ahora, los investigadores de Cyble han observado la RAT, que dijeron que se creó primero como una herramienta de administración remota de Android para controlar los dispositivos de las víctimas, apuntando a tres bancos brasileños: NUBank, Banco Inter y PagBank.
Hacer transferencias automatizadas parece ser el único objetivo del troyano, que a diferencia de malware similar no incluye la capacidad de robar códigos de autenticación o mensajes SMS entrantes, según los hallazgos.
El malware es parte de una tendencia creciente de los actores de amenazas en los últimos seis meses para crear malware bancario más sofisticado que incluye un marco de sistema de transferencia automática (ATS), "permitiendo a los atacantes realizar transferencias de dinero no autorizadas en dispositivos infectados", escribieron los investigadores de Cyble. .
“Esta nueva variante destaca que en el panorama tecnológico actual, existe una riesgo elevado de ataques cibernéticos que no requieren múltiples permisos o muchas funcionalidades de troyanos bancarios para ejecutar fraudes financieros”, dice el informe.
De hecho, la banca móvil La implementación de troyanos en general está en aumento, con casi 200,000 2022 nuevas variantes de este malware surgiendo en 2022, según el informe "Mobile Threats in 100" de Kaspersky. Esta cifra representa un aumento del XNUMX % con respecto al año anterior y la mayor aceleración en el desarrollo de malware para dispositivos móviles vista en los últimos seis años.
Cómo GoatRAT hace transferencias instantáneas
GoatRAT generalmente usa un proceso de cuatro pasos para realizar transferencias automáticas una vez que infecta el dispositivo de un usuario. Los investigadores describieron el sistema utilizado específicamente para la aplicación de banca móvil de Banco Inter; sin embargo, el troyano también incorporó funciones similares para realizar transferencias automáticas para otras aplicaciones bancarias, como NUBank y PagBank, a las que apunta, dijeron.
GoatRAT primero abusa del servicio de accesibilidad en un dispositivo Android para verificar que el nombre del paquete activo coincida con uno de una lista de nombres de paquetes de aplicaciones específicas y luego implementa una infección adicional.
Una vez que se identifica la aplicación de destino, el malware crea una ventana superpuesta bancaria falsa que aparece sobre la aplicación legítima para ocultar su actividad maliciosa a la víctima. Este y otro proceso encubierto permiten que el troyano ingrese una cantidad de dinero para transferir, así como la clave Pix del dispositivo, en la aplicación bancaria legítima sin alertar a la víctima, dijeron los investigadores.
El malware también introduce un mecanismo de clic automático para los botones "Confirmar" y "Pagar" de la aplicación bancaria legítima para completar la transferencia de dinero instantánea. Una vez que se completa esta transferencia, elimina la ventana superpuesta de la parte superior de la aplicación bancaria legítima y concluye el proceso malicioso.
Defensa contra troyanos ATS
Los investigadores hicieron varias recomendaciones de seguridad que van junto con las mejores prácticas típicas para descargar y usar aplicaciones móviles para mantener los dispositivos libres de infecciones de troyanos y otros programas maliciosos que no solo pueden robar fondos sino también propagarse a las redes empresariales a través de dispositivos conectados.
Los usuarios de dispositivos móviles solo deben descargar e instalar software de las tiendas de aplicaciones oficiales, como Google Play Store o iOS App Store, y usar un paquete de software antivirus y de seguridad de Internet de buena reputación en todos los dispositivos conectados, incluidos no solo los dispositivos móviles, sino también las PC y las computadoras portátiles. aconsejaron los investigadores.
También recomendaron a los usuarios que nunca compartan los detalles de las tarjetas de pago con fuentes no confiables y que usen contraseñas seguras y apliquen la autenticación multifactor (MFA) en los dispositivos móviles siempre que sea posible. Además, la implementación de funciones de seguridad biométrica como la huella dactilar o el reconocimiento facial para desbloquear sus dispositivos móviles siempre que sea posible es clave, dijeron los investigadores.
Otras reglas de seguridad de sentido común que los investigadores recomendaron pero que los usuarios a menudo ignoran son mantener actualizados los dispositivos, los sistemas operativos y las aplicaciones, y evitar abrir enlaces recibidos a través de SMS o correos electrónicos enviados a dispositivos móviles. Los usuarios deben tener cuidado al habilitar cualquier permiso en los dispositivos y asegurarse de que Google Play Protect esté habilitado en los dispositivos Android, agregaron los investigadores de Cyble.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/goatrat-android-trojan-targets-mobile-banking-automated-payment-system
