Android está en el centro de una alerta de McAfee, que ha identificado una nueva variante del malware Android XLoader, también conocido como MoqHao, que ha generado serias preocupaciones entre los usuarios de dispositivos Android. XLoader, operado y probablemente creado por el actor de amenazas con motivación financiera conocido como 'Roaming Mantis', ha sido observado anteriormente apuntando a usuarios en los Estados Unidos, Reino Unido, Alemania, Francia, Japón, Corea del Sur y Taiwán.
El Android objetivo de esta nueva versión del malware tiene una preocupante capacidad de iniciarse automáticamente después de la instalación sin ninguna interacción del usuario, lo que le permite ejecutarse sigilosamente en segundo plano y robar información confidencial del usuario, entre otras cosas. "Tan pronto como se instala la aplicación, su actividad maliciosa comienza automáticamente", explica McAfee, socio de Android Application Defense Alliance.
Los atacantes distribuyen principalmente el malware a través de mensajes SMS que contienen una URL (acortada) que conduce a un sitio donde se puede descargar un archivo de instalación APK para una aplicación móvil. Para ofuscar aún más la aplicación maliciosa, Roaming Mantis utiliza cadenas Unicode para disfrazar los APK maliciosos como software legítimo, específicamente, el navegador web Chrome.
Android es seguro, pero el robo de identidad es vital para el siguiente paso, que consiste en engañar al usuario para que apruebe permisos riesgosos en el dispositivo, como enviar y acceder a contenido SMS, y que se le permita "siempre ejecutarse en segundo plano" añadiendo una exclusión de la optimización de la batería de Android.
Se descubre un malware muy peligroso para Android, alerta de McAfee para los usuarios de teléfonos
La aplicación falsa de Chrome para Android también pide al usuario que la configure como aplicación de SMS predeterminada, alegando que esto ayudará a prevenir el spam. Los mensajes emergentes utilizados en este paso están disponibles en inglés, coreano, francés, japonés, alemán e hindi, e indican los objetivos actuales de XLoader.
La última versión de Android XLoader crea canales de notificación para realizar ataques de phishing personalizados en el dispositivo, extrayendo mensajes de phishing y URL de destino de perfiles de Pinterest, presumiblemente para evitar la detección por parte de herramientas de seguridad que monitorean fuentes de tráfico sospechoso.
Desde su aparición en la escena de las amenazas móviles en 2015, XLoader ha evolucionado constantemente sus métodos de ataque, mejorando sus capacidades sigilosas y su eficacia. McAfee advierte que las nuevas variantes de XLoader pueden ser particularmente efectivas porque requieren una interacción mínima del usuario.
Dado que el malware se esconde bajo la apariencia de Chrome, McAfee sugiere utilizar un producto de seguridad que pueda escanear su dispositivo y erradicar estas amenazas basándose en indicadores conocidos. Este incidente subraya la importancia de una vigilancia continua y de tomar las precauciones adecuadas para protegerse contra las amenazas cibernéticas en evolución.
