Faketoken es un troyano bancario móvil que se detectó por primera vez en julio de este año. Ahora, Kaspersky Lab ha descubierto una nueva modificación de este malware, cuya característica principal es que puede cifrar los datos de sus víctimas. Este troyano se esconde en programas, como Adobe Flash Player, y juegos. Lo más peligroso: también es capaz de tobar credenciales de más de 2.000 aplicaciones financieras para Android. Hasta el momento se sabe que Faketoken ha tenido más de 16.000 víctimas en 27 países.

Esta capacidad de cifrar de datos no es habitual, ya que la mayoría de los ransomware para móviles se centran en bloquear el dispositivo en lugar de cifrar la información, ya que generalmente se respalda a la nube. Pero el caso de Faketoken, los datos, incluidos los documentos y archivos multimedia, como imágenes y vídeos, se cifran mediante un algoritmo simétrico AES. La buena noticia es que en algunos casos, puede ser descifrado por el usuario sin pagar un rescate.

Modus operandi

 Durante el proceso inicial de infección, el troyano exige derechos de administrador, permiso para superponer otras aplicaciones o convertirse una app con acceso a SMS por defecto. Entre otras cosas, estos derechos permiten a Faketoken robar datos de forma directa (como contactos y archivos) o indirecta, a través de páginas de phishing.

Este troyano está diseñado para el robo de datos a escala internacional: una vez que todos los derechos necesarios están aprobados, descarga una base de datos de su servidor de Comand and Control (C&C, comando y control) que contiene frases en 77 idiomas para diferentes localizaciones de dispositivos, incluyendo el español. Estas se usan para lanzar mensajes de phishing con el objetivo de hacerse con las contraseñas de las cuentas de Gmail de los usuarios. El troyano también puede superponer Google Play Store, mostrando una página de phishing para robar los detalles de la tarjeta de crédito. Además, el troyano es capaz de descargar una larga lista de aplicaciones para ataques e incluso una página de plantillas HTML para generar páginas de phishing para las aplicaciones relevantes. Kaspersky Lab ha descubierto una lista de 2.249 aplicaciones financieras.

Como medidas de seguridad, los expertos recomiendan que los usuarios de Android tomen algunas medidas para protegerse de este troyano, como asegurarse de que los datos están respaldados con copias de seguridad, no aceptar de forma automática los permisos cuando descargues una aplicación. Es conveniente también en el móvil contar con soluciones antimalware, y actualizar el sistema operativo.

About Author

Globb Security

Globb Security, la web de referencia del sector de la seguridad informática.

Deja un comentario