Cleafy Labs, la compañía de ciberseguridad y cazadores de fraudes, dio a conocer la aparición de un nuevo malware móvil que ataca dispositivos Android. Debido a la falta de información y la ausencia de nomenclatura para este malware, la compañía ha decidido llamarlo BingoMod.
La firma señala que este malware tiene la capacidad de “realizar apropiaciones de cuentas directamente desde el dispositivo infectado, explotando así la técnica de fraude en el dispositivo”.
Este comenzó a mostrar señales durante el mes de marzo, pero no fue hasta mayo que se detectó. Los expertos señalan que tiene técnicas parecidas a otros troyanos bancarios como Medusa, Copybara y Teabot, lo cual lo convierte en un malware bastante peligroso.
Algunas de las ventajas que tiene el malware es que “requiere desarrolladores menos capacitados, amplían la base de objetivos del malware a cualquier banco y evitan varias contramedidas de detección de comportamiento implementadas por múltiples bancos y servicios financieros”.
¿Cómo funciona BingoMod? Este malware no solo accede a la información de las víctimas, sino que es capaz de realizar transferencias bancarias entre dispositivos Android y, posteriormente, borra toda su actividad para evitar que los usuarios se den cuenta pronto que el dispositivo está infectado.
De acuerdo con Cleafy Labs, este se introduce al celular de la víctima a través de aplicaciones de antivirus que a simple vista parecen legítimas. Una vez que el usuario la descarga a su celular, BingoMod solicita al usuario activar los “Servicios de accesibilidad” con la excusa de que necesita estar activada para el funcionamiento correcto de la app.
Cuando el usuario otorga los permisos solicitados, la APK comienza a descomprimirse y distribuye una carga maliciosa en el celular para realizar la estafa. Con la activación, las funciones en segundo plano se activan, entre ellas el registro del teclado y la interceptación de mensajes SMS.
“El objetivo principal de BingoMod es iniciar transferencias de dinero directamente desde dispositivos comprometidos. Por lo tanto, el malware implementa varias funcionalidades de control remoto”, señala la organización de ciberseguridad.
El malware proporciona alrededor de 40 funciones de control remoto, sobre todo aquellas relacionadas con el control de pantalla en tiempo real.
Cleafy Labs señala que, por el momento, el malware se encuentra en fase “experimental” y ataca primordialmente a usuarios ingleses, italianos y rumanos.
Sin embargo, la compañía también advierte sobre el avance que puede tener este malware posteriormente, ya que en los primeros motores de detección, este se mostraba de forma fácil, pero su técnica ha mejorado ya que la detección del virus se redujo considerablemente, lo cual lo convierte en un malware más peligroso.