El troyano bancario Faketoken roba datos de más de 2.000 apps financieras Android

Disfrazado de varios programas y juegos, incluyendo Adobe Flash Player, el troyano Faketoken también puede robar credenciales de más de 2.000 aplicaciones financieras de Android.
Los expertos anti-malware de Kaspersky Lab han descubierto una modificación del troyano bancario móvil Faketoken que puede cifrar los datos de los usuarios. Hasta la fecha, Faketoken ha afectado a más de 16.000 víctimas en 27 países, la mayoría ubicados en Rusia, Ucrania, Alemania y Tailandia.
La nueva capacidad de cifrado de datos es inusual, ya que la mayoría de los ransomwares móviles se centran en bloquear el dispositivo en lugar de la información, que generalmente se respalda a la nube. En el caso de Faketoken, los datos, incluidos los documentos y archivos multimedia, como imágenes y vídeos, se cifran utilizando un algoritmo simétrico AES que, en algunos casos, puede ser descifrado por el usuario sin pagar un rescate.
Durante el proceso inicial de infección, el troyano exige derechos de administrador, permiso para superponer otras aplicaciones o convertirse una app SMS por defecto – a menudo dejando a los usuarios con poca o ninguna opción. Entre otras cosas, estos derechos permiten a Faketoken robar datos: tanto directamente, como contactos y archivos, e indirectamente, a través de páginas de phishing.
El troyano está diseñado para el robo de datos a escala internacional: una vez que todos los derechos necesarios están aprobados, descarga una base de datos de su servidor de comando y control que contiene frases en 77 idiomas para diferentes localizaciones de dispositivos, incluyendo el español. Se utilizan para lanzar mensajes de phishing para hacerse con las contraseñas de las cuentas de Gmail de los usuarios. El troyano también puede superponer Google Play Store, presentando una página de phishing para robar los detalles de la tarjeta de crédito. De hecho, el troyano es capaz de descargar una larga lista de aplicaciones para ataques e incluso una página de plantillas HTML para generar páginas de phishing para las aplicaciones relevantes. Los expertos de Kaspersky Lab descubrieron una lista de 2.249 aplicaciones financieras.
Curiosamente, la nueva versión de Faketoken también intenta reemplazar con sus propias versiones los accesos directos de aplicaciones para redes de medios sociales, mensajería instantánea y navegadores. El motivo no está claro ya que los iconos que sustituyen dirigen a las mismas aplicaciones legítimas.
Kaspersky Lab recomienda a los usuarios de Android asegurarse de que todos los datos estén respaldados, copias de seguridad.
No aceptar automáticamente los derechos y permisos cuando una aplicación lo pide e instalar una solución antimalware en todos los dispositivos y manten el software del sistema operativo actualizado.