28 de agosto de 2017

FAKETOKEN. El troyano que evoluciona y apunta a nuevos objetivos

Investigadores de seguridad de Kaspersky han descubierto una nueva variante del troyano Faketoken llamado Faketoken.q el cuál es capaz de detectar y grabar todas las llamadas telefónicas que se realizan con el dispositivo infectado. Además ataca a aplicaciones móviles que hagan uso de pagos con tarjeta.
El vector de ataque usado son los SMS. En ellos solicitan a los usuarios móviles descargar una imagen, que acaba siendo el punto de entrada del malware en el dispositivo.
Los investigadores aseguran que ha sido diseñado para usuarios rusos por lo que utiliza tal idioma como lenguaje principal en su interfaz.
Como graba las conversaciones telefónicas
Una vez descargado, el malware instala los módulos necesarios y el payload principal en el smartphone.
Cuando una llamada comienza en el dispositivo infectado, el malware comienza a grabarla y la envía simultáneamente al servidor principal del atacante.
Superposición de aplicación para robar credenciales de tarjetas de crédito
Además de la característica anteriormente mencionada, Faketoken.q comprueba que aplicaciones se están usando en el smartphone. En caso de que alguna aplicación tenga una interfaz simulable por el troyano, este superpone una falsa interfaz para el robo de información.
Para conseguir esto, el troyano usa una opción de Android - que usan otras muchas aplicaciones y malware - para colocar la ventana por delante de las demás.
La falsa interfaz aparece para que la víctima introduzca sus datos bancarios y estos puedan llegar a usarse más adelante para realizar transacciones fraudulentas.
La muestra analizada por Kaspersky puede encontrarse en Koodous: https://koodous.com/apks/8508e1db6ca569937f9bda2a5e696c06b5bb1b6277af3da2dbcc67d27adbb67a
Más información:
Fuente: Hispasec.com