{"id":5752,"date":"2019-06-27T20:17:21","date_gmt":"2019-06-28T00:17:21","guid":{"rendered":"http:\/\/www.notaoficial.com\/s\/?p=5752"},"modified":"2019-06-27T10:18:56","modified_gmt":"2019-06-27T14:18:56","slug":"identifican-malware-que-accede-a-sms-sin-permisos-de-google","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2019\/06\/27\/identifican-malware-que-accede-a-sms-sin-permisos-de-google\/","title":{"rendered":"Identifican malware que accede a SMS sin permisos de Google"},"content":{"rendered":"

Con el fin de robar las credenciales de inicio de sesi\u00f3n del servicio evadiendo las restricciones de Google, fue identificado un nuevo malware en aplicaciones maliciosas que accede a contrase\u00f1as de un solo uso en mensajes SMS de doble factor de autenticaci\u00f3n.<\/p>\n

Para esto las aplicaciones se hacen pasar por el exchange de criptomonedas turco BtcTurk. En lugar de interceptar mensajes SMS para evadir la protecci\u00f3n 2FA en las cuentas y transacciones, las aplicaciones maliciosas toman la contrase\u00f1a de un solo uso de las notificaciones que aparecen en la pantalla del dispositivo comprometido. Adem\u00e1s de leer las notificaciones de 2FA, tambi\u00e9n pueden descartarlas para evitar que las v\u00edctimas noten las transacciones fraudulentas.<\/p>\n

Una vez iniciada, la aplicaci\u00f3n solicita un permiso denominado \u201cAcceso a las notificaciones\u201d. Esto permite a la aplicaci\u00f3n leer las notificaciones mostradas por otras aplicaciones instaladas en el dispositivo, descartar esas notificaciones o hacer clic en los botones que contienen.<\/p>\n

El permiso de Acceso a las notificaciones se introdujo en la versi\u00f3n 4.3 de Android (Jelly Bean), lo que significa que casi todos los dispositivos Android activos son susceptibles a esta nueva t\u00e9cnica. Las aplicaciones falsas requieren la versi\u00f3n de Android 5.0 (KitKat) o superior para ejecutarse; por lo que podr\u00edan afectar alrededor del 90% de los dispositivos Android. Una vez que el usuario otorga este permiso, la aplicaci\u00f3n muestra un formulario de inicio de sesi\u00f3n falso que solicita credenciales para BtcTurk.<\/p>\n

Despu\u00e9s de ingresar las credenciales, se muestra un falso mensaje de error en turco. La traducci\u00f3n al espa\u00f1ol del mensaje es: \u201c\u00a1Upss! Debido al cambio realizado en el sistema de verificaci\u00f3n de SMS somos temporalmente incapaces de reparar nuestra aplicaci\u00f3n m\u00f3vil. Despu\u00e9s de los trabajos de mantenimiento, se le notificar\u00e1 a trav\u00e9s de la aplicaci\u00f3n. Gracias por su comprensi\u00f3n\u201d. En segundo plano, las credenciales ingresadas son enviadas al servidor del atacante.<\/p>\n

El contenido mostrado por todas las notificaciones son enviadas al servidor del atacante, accediendo al contenido independientemente de la configuraci\u00f3n que utilice la v\u00edctima para mostrar notificaciones en la pantalla de bloqueo. Adem\u00e1s, pueden descartar notificaciones entrantes y configurar el modo de timbre del dispositivo en silencio, lo que puede evitar que las v\u00edctimas noten transacciones fraudulentas.<\/p>\n

\u201cSi se sospecha de haber instalado y utilizado alguna aplicaci\u00f3n maliciosa, desde ESET se recomienda la desinstalaci\u00f3n de inmediato, revisar las cuentas para detectar actividades sospechosas y el cambio de las contrase\u00f1as.\u201d, coment\u00f3 Camilo Gutierrez, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica. \u201cEl mes pasado, advertimos sobre el creciente precio de bitcoin y c\u00f3mo esto ha dado lugar a una nueva ola de malware de criptomoneda en Google Play. Este \u00faltimo descubrimiento muestra que los cibercriminales est\u00e1n buscando activamente m\u00e9todos para eludir las medidas de seguridad y as\u00ed aumentar sus posibilidades de lograr sus objetivos. Es importante mantenerse protegidos para disfrutar de tecnolog\u00eda de manera segura\u201d, concluy\u00f3 Gutierrez.<\/p>\n

Para mantenerse a salvo del malware financiero para Android ESET recomienda:<\/p>\n