Investigadores de seguridad han encontrado una variante del virus para celular conocido como Xenomorfo, que afecta principalmente a usuarios de Android en Estados Unidos, Canadá, México, España, Italia, Portugal y Bélgica.
Los analistas de la empresa de ciberseguridad ThreatFabric han estado monitoreando la actividad de este malware desde febrero de 2022 y señalan que esta nueva campaña se puso en marcha a mediados de agosto. La última versión del Xenomorfo se dirige a usuarios de billeteras de criptomonedas y diversas instituciones financieras.
¿Qué es el Xenomorfo, el virus de celular?
El Xenomorfo surgió por primera vez a principios de 2022 como un troyano bancario que se centró en 56 bancos europeos mediante la técnica de phishing con superposición de pantalla. Se distribuyó a través de la tienda de aplicaciones Google Play, donde logró más de 50,000 instalaciones.
Los autores del malware, conocidos como «Hadoken Security», continuaron desarrollándolo y en junio de 2022 lanzaron una nueva versión que hizo que el malware fuera modular y más adaptable.
Para ese momento, el virus para celular, Xenomorfo, ya estaba entre los diez troyanos bancarios más prolíficos según Zimperium, por lo que ya se le consideraba una «amenaza importante». En diciembre de 2022, los mismos analistas informaron sobre una nueva plataforma de distribución de malware llamada «Zombinder», que incrustaba la amenaza en el archivo APK de aplicaciones Android legítimas.
Más recientemente, en marzo de 2023, Hadoken lanzó la tercera versión, que incluye un sistema de transferencia automatizado (ATS) para realizar transacciones autónomas en el dispositivo, la capacidad de eludir la autenticación multifactorial (MFA), robo de cookies y la capacidad de atacar a más de 400 bancos.
Esta versión incluye una nueva característica llamada «imitación» que permite que el malware se comporte como otra aplicación en los mejores smartphones Android, y otra función llamada «ClickOnPoint» que permite a los ciberdelincuentes simular toques en lugares específicos de la pantalla del teléfono.
Dado que utiliza superposiciones para robar credenciales de aplicaciones bancarias y de criptomonedas con el fin de vaciar las cuentas de los usuarios, esta cepa de malware para Android es particularmente peligrosa y se debe evitar a toda costa.
¿A qué bancos afecta este nuevo virus de celular?
Como en versiones anteriores de este virus de celular, el Xenomorfo continúa utilizando superposiciones para robar credenciales de usuarios de aplicaciones bancarias y de criptomonedas. Entre las aplicaciones bancarias que ataca se incluyen Chase, Citi, Bank of America, Capital One, PNC, Santander, TD Bank, Wells Fargo, Coinbase, Binance y MetaMask, entre otras.
¿Cómo llegas a ella? A través de sitios de phishing que advierten a las víctimas potenciales que la versión de Chrome que están utilizando está desactualizada y debe solucionarse de inmediato. En la parte inferior de la página hay un botón que dice «Actualizar Chrome», pero en lugar de descargar una nueva versión del navegador de Google, conduce a un archivo APK malicioso. Este archivo APK en realidad contiene el malware, que los usuarios han instalado inadvertidamente en sus smartphones.
Para mantenerse a salvo del malware para Android, es esencial evitar caer en trampas como la falsa actualización de Chrome. Las actualizaciones de aplicaciones legítimas provienen directamente de la tienda de Google Play.
Recuerda suscribirte a nuestro Newsletter para estar al tanto de más noticias relevantes para ti como el Xenomorfo, este virus de celular que podría robar tu información bancaria a través de las aplicaciones que usas.
