Alertan por malware “Droidbot” en 70 apps de Android… ¡podría expandirse a Latinoamérica!

| 15:16 | Alfredo Narváez | Cleafy
Descubren el 'malware' bancario DroidBot en más de 70 aplicaciones de Android
¡DroidBot se encontró en más de 70 apps de Android! | Foto: Getty Images

Investigadores dela empresa de ciberseguridad Cleafy descubrieron un nuevo ‘malware‘ denominado DroidBot integrado a 77 aplicaciones bancarias, servicios de intercambio de criptomonedas y entidades relacionadas para el sistema operativo Android.

“A finales de octubre de 2024, el equipo de Cleafy TIR descubrió y analizó un nuevo troyano de acceso remoto (RAT) para Android. Tras la investigación, se encontraron rastros de esta amenaza que se remontan a junio de 2024”.

Cleafy

Este agente malicioso no ha sido identificado con alguna familia de malware conocida, por lo que fue clasificado con el nombre DroidBot, basándose en un nombre de dominio utilizado por este malware, escribió la compañía de seguridad digital este jueves en un reporte detallado de la amenaza.

[TE RECOMENDAMOS: Checa si las tienes y bórralas: estas apps roban tus datos bancarios]

¿Cuáles son las apps identificadas con este malware?

Cleafy ofreció el nombre con el que se identifica a las 77 aplicaciones específicas vinculadas con DroidBot:

  1. com.arkea.android.application.cmb
  2. com.axabanque.fr
  3. com.bancocajasocial.geolocation
  4. com.bankinter.launcher
  5. com.bbva.bbvacontigo
  6. com.binance.dev
  7. com.boursorama.android.clients
  8. com.caisseepargne.android.mobilebanking
  9. com.cajasur.android
  10. com.cic_prod.bad
  11. com.cm_prod.bad
  12. com.CredemMobile
  13. com.fullsix.android.labanquepostale.accountaccess
  14. com.grupocajamar.wefferent
  15. com.kraken.trade
  16. com.kubi.kucoin
  17. com.kutxabank.android
  18. com.latuabancaperandroid
  19. com.lynxspa.bancopopolare
  20. com.mediolanum.android.fullbanca
  21. com.mootwin.natixis
  22. com.ocito.cdn.activity.banquelaydernier
  23. com.ocito.cdn.activity.creditdunord
  24. com.okinc.okcoin.intl
  25. com.okinc.okex.gp co.mona.android
  26. com.rsi
  27. com.sella.BancaSella
  28. com.targoes_prod.bad
  29. com.tecnocom.cajalaboral
  30. com.unicredit
  31. com.vipera.chebanca
  32. com.wrx.wazirx es.bancosantander.apps
  33. es.caixagalicia.activamovil
  34. es.caixaontinyent.caixaontinyentapp
  35. es.cecabank.ealia2103appstore
  36. es.evobanco.bancamovil
  37. es.ibercaja.ibercajaapp
  38. es.lacaixa.mobile.android.newwapicon
  39. es.openbank.mobile
  40. es.pibank.customers
  41. es.santander.Criptocalculadora
  42. fr.banquepopulaire.cyberplus
  43. fr.bred.fr
  44. fr.creditagricole.androidapp
  45. fr.lcl.android.customerarea
  46. io.metamask
  47. it.bcc.iccrea.mycartabcc
  48. it.bnl.apps.banking
  49. it.carige
  50. it.copergmps.rt.pf.android.sp.bmps
  51. it.creval.bancaperta
  52. it.icbpi.mobile
  53. it.nogood.container
  54. it.popso.SCRIGNOapp
  55. mobi.societegenerale.mobile.lappli
  56. net.bnpparibas.mescomptes
  57. net.inverline.bancosabadell.officelocator.android
  58. posteitaliane.posteapp.appbpol
  59. posteitaliane.posteapp.apppostepay
  60. www.ingdirect.nativeframe
  61. com.garanti.cepsubesi
  62. tr.gov.turkiye.edevlet.kapisi
  63. com.ykb.android
  64. com.ziraat.ziraatmobil
  65. com.pttfinans
  66. com.fibabanka.Fibabanka.mobile
  67. com.pozitron.iscep
  68. com.mobillium.papara
  69. com.vakifbank.mobile
  70. com.ingbanktr.ingmobil
  71. finansbank.enpara
  72. com.denizbank.mobildeniz
  73. tr.com.sekerbilisim.mbank
  74. com.finansbank.mobile.cepsube
  75. com.tmobtech.halkbank

Se espera que Droidbot se extienda a Latinoamérica

Con corte al 4 de diciembre, Se han observado campañas activas en países como Reino Unido, Italia, Francia, España y Portugal, lo que indica una posible expansión a América Latina, según Clearfy.

Por otro lado, las inconsistencias observadas en múltiples muestras indican que este software malicioso aún se encuentra en desarrollo activo. “Esto sugiere esfuerzos en curso para mejorar la eficacia del malware y adaptarlo a entornos específicos”, de acuerdo con los expertos.

La campaña de este troyano se ha vinculado a Turquía, lo que refleja una tendencia más amplia de adaptación de tácticas y enfoque geográfico, según los investigadores.

¿Qué es DroidBot y cómo funciona?

DroidBot es un troyano sofisticado de acceso remoto que combina el uso compartido de pantalla remota de Virtual Network Computing (VNC) con funciones que suelen asociarse con ‘software’ espía (‘spyware’), según el equipo de Clearfy.

Para atraer a las víctimas y que descarguen este ‘malware‘, los ciberdelincuentes utilizan señuelos comunes que se usan en campañas de distribución de virus bancario. De esa manera, se disfraza de aplicaciones de seguridad genéricas, servicios de Google o ‘apps’ bancarias populares.

Esta amenaza incluye un ‘keylogger‘ y rutinas de monitorización. De esa manera, una vez se haya instalado en el dispositivo, puede interceptar mensajes SMS entrantes de instituciones financieras, cuando envían números de autenticación de transacciones.

Además, puede tener acceso a las interacciones del usuario con la pantalla. “Gracias a esto, los ciberdelincuentes pueden robar tanto su información personal como sus credenciales”, según Cleafy.

¡Advierten por la resistencia de este troyano!

DroidBot dispone de un mecanismo de comunicación de doble canal. Esto significa que los datos salientes de los dispositivos infectados se transmiten mediante un protocolo de mensajería ligero, mientras que los comandos entrantes se reciben a través de un protocolo HTTPS.

“De esa manera, este doble sentido mejora la flexibilidad operativa del troyano y su resistencia“, según los expertos de la empresa de ciberseguridad.

DroidBot opera como una plataforma de ‘malware‘ como servicio (MaaS, por sus siglas en inglés), es decir, un modelo de distribución de ‘software‘ malicioso a individuos o grupos con menos recursos o capacidad técnica.

Etiquetas: , ,