Los celulares comúnmente se utilizan para realizar pagos, consultar cuentas bancarias y almacenar información sensible. Sin embargo, este acceso directo a la vida financiera también ha convertido a los dispositivos móviles en objetivos atractivos para los ciberdelincuentes.
Una de las amenazas más recientes y preocupantes es el malware bancario disfrazado de aplicaciones legítimas, capaz de vaciar las cuentas bancarias de los usuarios sin que estos se den cuenta.
El aumento del malware en dispositivos Android
Según el portal Malwarebytes, las amenazas de malware dirigidas a teléfonos móviles han experimentado un crecimiento alarmante. En su informe ThreatDown 2024, la empresa reportó que solo en el año anterior se detectaron más de 88,500 aplicaciones maliciosas dirigidas a usuarios de dispositivos Android.
Estas aplicaciones no solo buscan robar información personal, sino que están diseñadas para acceder a las cuentas bancarias de los usuarios, llevando a cabo transferencias no autorizadas.
Un claro ejemplo de esta amenaza es el troyano bancario SharkBot, que se oculta detrás de una aplicación de recuperación de archivos llamada “RecoverFiles”. Al ser instalada en el dispositivo, la app solicita permisos aparentemente inofensivos, como acceso a fotos y videos.
Sin embargo, lo que en realidad hace es permitir a los ciberdelincuentes robar las credenciales bancarias de la víctima y realizar pagos fraudulentos. Malwarebytes destacó que SharkBot logró infectar miles de dispositivos Android, poniendo en evidencia cómo los atacantes siguen perfeccionando sus métodos para engañar a los usuarios.
Modus operandi de los troyanos bancarios: una amenaza disfrazada
Los cibercriminales emplean un modus operandi cada vez más sofisticado para distribuir malware bancario. Como lo explican los expertos de Malwarebytes, las aplicaciones maliciosas parecen inofensivas y funcionales, pero al ser instaladas, activan un código oculto que descarga el malware desde servidores externos.
Esta técnica permite que el malware evada las barreras de seguridad de las tiendas oficiales de aplicaciones, como Google Play.
Un ejemplo notable es el troyano Anatsa, que fue distribuido a través de aplicaciones aparentemente legítimas. Este malware logró infectar a más de 100,000 usuarios, robar sus credenciales bancarias y realizar transferencias no autorizadas.
Los atacantes detrás de Anatsa demostraron la capacidad de infiltrarse en plataformas seguras como Google Play, lo que refleja la complejidad de las amenazas actuales y la necesidad de una protección constante.
Aplicaciones maliciosas: ¿cómo afectan al usuario?
Además de los troyanos como SharkBot, existen otras aplicaciones maliciosas que operan de manera similar, engañando a los usuarios para que otorguen permisos elevados.
Un ejemplo claro que señala los expertos ciberseguridad de Cleafy es la aplicación QR Code Scanner, que, aunque diseñada para leer códigos QR, oculta un código malicioso. Al instalarla, la app solicita permisos para actualizarse, pero en lugar de realizar una actualización legítima desde la Play Store, se conecta a repositorios externos como GitHub, donde descarga el malware.
La verdadera amenaza de QR Code Scanner reside en su capacidad para robar credenciales bancarias. De acuerdo con Cleafy, el malware asociado con esta app se especializa en el robo de información de aplicaciones bancarias de varios países europeos, especialmente en España e Italia.
TeaBot, otro troyano vinculado a esta amenaza, ha sido responsable de un aumento significativo en las aplicaciones bancarias objetivo, con un incremento de más del 500% en menos de un año, pasando de 60 aplicaciones a más de 400.
TeaBot: un troyano diseñado para robar credenciales bancarias
“TeaBot es un troyano bancario para Android que surgió a principios de 2021 y está diseñado para robar las credenciales y los mensajes SMS de las víctimas”, señala el portal Cleafy. Los cibercriminales detrás de TeaBot han logrado eludir las medidas de seguridad de Google Play, infectando a cientos de miles de usuarios.
Una vez instalado, Cleafy resalta que el TeaBot solicita permisos elevados para acceder a los servicios de accesibilidad del dispositivo. Esto permite al malware realizar transacciones fraudulentas sin que la víctima lo perciba, ya que las notificaciones de las transferencias se ocultan bajo una interfaz falsa.
Además, TeaBot puede robar desde las credenciales bancarias hasta los códigos de autenticación, lo que lo convierte en una amenaza particularmente difícil de detectar y bloquear.