Troyano bancario infectó Android desde Google AdSense

En los tiempos que corren la seguridad informática es un tema importante en todas las empresas. Normalmente siendo precavido y siguiente los protocolos de seguridad habituales, estamos a salvo de la mayoría de los ataques.

Pero hay veces, que aprovechando ciertas vulnerabilidades, tenemos que ser todavía más cautos. Estos últimos días, expertos informáticos han notificado de un malware camuflado en elementos que parecían legítimos en sitios web incluso de buena reputación.

Los atacantes tenían intención de robar información de tarjetas bancarias y datos personales, así como contactos e historial de llamadas y estaban explotando un bug en Google Chrome para Android. Es necesario pasar un parche de seguridad (actualización) para poder bloquear la vulnerabilidad de Google Chrome para Android, según informa Kaspersky Lab, en todos los dispositivos, tanto los infectados como los no infectados aún. 

Expertos en ciberseguridad de esta compañía han sido los que han dado la voz de alarma al descubrir una modificación del troyano bancario Svpeng escondido en AdSense, la plataforma publicitaria de Google. En solo dos meses, Svpeng fue detectado en los dispositivos Android de más de 320.000 usuarios, con un ratio de infección superior a las 37.000 nuevas infecciones diarias.

Ahora que se sabe cual es el problema y como combatirlo, los expertos de Kaspersky Lab han revelado más detalles de este ataque.

  • El primer caso de ataque Svpeng ocurrió a mediados del mes de julio en una cadena de noticias rusa. Durante el ciberataque, el troyano se descargaba por sí solo y de manera silenciosa en los dispositivos Android de los visitantes que accedían a este sitio web, aprovechando los elementos de la mayor plataforma publicitaria del mundo.
  • Según los analistas de Kaspersky Lab, todo comenzó con un anuncio infectado en Google AdSense. Este anuncio aparecía con normalidad en páginas web no infectadas y el troyano solo se descargaba si el usuario accedía a la página web a través del navegador Chrome en dispositivos Android.
  • También ataca otros navegadores, pero no es tan efectivo pues en otros llega a notificar la descarga insegura o al instalarse avisa del posible fallo de seguridad al ser una descarga insegura. Aún así si el usuario no es precavido es capaz de infectar desde otros navegadores.
  • El troyano Svpeng se hacía pasar por una importante actualización o una aplicación conocida con el fin de convencer al usuario para que aceptase la instalación. Una vez que el malware instalado, desaparece de la lista de aplicaciones instaladas. De esta manera, el malware era más difícil de detectar.
  • Después pide al usuario otorgarle derechos de administrador del dispositivo. Si el usuario acepta acaba de permitir el acceso a muchos de sus datos a los cibercriminales.
  • El método que los atacantes habían encontrado para eludir las medidas de seguridad de Google Chrome en Android ha sido la descarga del malware por partes, siendo así más difícil de localizar por antivirus esta actividad y, el poder omitir el aviso de seguridad del navegador. La eliminación de un sólo aviso y el reclamo de actualizar una aplicación importante o conocida como Whatsapp, Chrome, Instagram o similares, ha producido el desastre y valiéndose de ingeniería social extenderse rápidamente.
  • Además se configuró para que se activara cuando se iniciaba en dispositivos con pantalla táctil con Android y preferiblemente desde Chrome.

Normalmente, cuando el archivo APK se descarga en el dispositivo móvil a través de un enlace web externo, el navegador muestra una advertencia en la que se indica que se va a descargar un archivo potencialmente peligroso.

Svpeng principalmente ataca en países de habla rusa, sin embargo tiene el potencial de extenderse globalmente y se detectarán modificaciones y mutaciones en breve.

Debido a la naturaleza específica de la distribución de este malware, millones de páginas web de todo el mundo están en riesgo, con muchas de ellas usando la plataforma de anuncios AdSense.