Finlandia advierte de ataques de malware para Android que vulneran cuentas bancarias
La Agencia de Transportes y Comunicaciones de Finlandia (Traficom) está advirtiendo sobre una campaña de malware para Android que intenta violar cuentas bancarias en línea.
La agencia ha destacado múltiples casos de mensajes SMS escritos en finlandés que indican a los destinatarios que llamen a un número. El estafador que responde a la llamada indica a las víctimas que instalen una aplicación de McAfee para protegerse.
Los mensajes supuestamente son enviados por bancos o proveedores de servicios de pago como MobilePay, y utilizan tecnología de suplantación de identidad para que parezca que provienen de un operador de telecomunicaciones nacional o de una red local.
Sin embargo, la aplicación McAfee es un malware que permitirá a los actores de amenazas violar las cuentas bancarias de la víctima.
"De acuerdo con los informes recibidos por el Centro de Seguridad Cibernética, se alienta a los objetivos a descargar una aplicación de McAfee", se lee en el aviso. (traducido a máquina)
"El enlace de descarga ofrece una aplicación .apk alojada fuera de la tienda de aplicaciones para dispositivos Android. Sin embargo, no se trata de un software antivirus, sino de un malware que se instala en el teléfono".
El OP Financial Group, uno de los principales proveedores de servicios financieros del país, también ha emitido una alerta en su sitio web sobre los mensajes engañosos que se hacen pasar por bancos o autoridades nacionales.
La policía también destacó la amenaza, advirtiendo que el malware permite a sus operadores iniciar sesión en la cuenta bancaria de la víctima y transferir dinero. En un caso, una víctima perdió 95.000 euros (102.000 dólares).
Traficom dice que la campaña se dirige exclusivamente a dispositivos Android, y que no hay una cadena de infección separada para los usuarios de iPhone de Apple.
Sospecha de troyano Vultur
Aunque las autoridades de Finlandia no han determinado el tipo de malware y no han compartido ningún hash o ID para los archivos APK, los ataques se asemejan a los que los analistas de Fox-IT informaron recientemente en relación con una nueva versión del troyano Vultur.
La nueva versión de Vultur entró en circulación recientemente, utilizando ataques híbridos de smishing y llamadas telefónicas para convencer a los objetivos de que descarguen una aplicación falsa de McAfee Security, que introduce la carga útil final en tres partes separadas para evadirla.
Sus últimas características incluyen amplias operaciones de administración de archivos, abuso de los servicios de accesibilidad, bloqueo de aplicaciones específicas para que no se ejecuten en el dispositivo, desactivación de Keyguard y servicio de notificaciones personalizadas en la barra de estado.
Si ha instalado el malware, debe comunicarse con su banco de inmediato para habilitar las medidas de protección y restaurar la "configuración de fábrica" en el dispositivo Android infectado para borrar todos los datos y aplicaciones.
La autora dice que no piden a los clientes que compartan ningún dato confidencial por teléfono ni que instalen ninguna aplicación para poder recibir o cancelar pagos, por lo que las solicitudes similares deben informarse inmediatamente al servicio de atención al cliente del banco y a la policía.
Google ha confirmado previamente que la herramienta antimalware incorporada en Android, Play Protect, protege automáticamente contra versiones conocidas de Vultur, por lo que mantenerla activa en todo momento es crucial.