Dos nuevas cepas de malware en Android podrían permitir a un atacante acceder a los dispositivos de forma remota y realizar ataques de phishing, interactuar con el dispositivo infectado en tiempo real y robar datos.
El primero se llama Hook. Parece estar basado en un troyano bancario llamado Ermac, que permitía a los atacantes robar credenciales de aplicaciones bancarias y de criptografía. Los investigadores de ThreatFabric estudiaron el código de Hook para encontrar similitudes entre los dos tipos de malware. Actualmente se está vendiendo como una herramienta de malware por alquiler por unos 7.000 dólares al mes.
A diferencia de Ermac, Hook incluye un módulo VNC que permite la interacción con el dispositivo infectado en tiempo real. Esto significa que el atacante básicamente podría hacer cualquier cosa que quisiera en el dispositivo, pero sería más difícil hacerlo en dispositivos con versiones más nuevas del sistema operativo. Esto se debe a que se requieren servicios de accesibilidad para que el VNC de Hook funcione para el atacante.
Pero Hook también puede permitir al atacante ver una lista completa de archivos en el dispositivo. También podrían rastrear el dispositivo a través de la geolocalización y mensajes de aplicaciones populares como WhatsApp. Ya que Hook se distribuye a través de la APK de Google Chrome, puedes evitar la infección básicamente solo instalando aplicaciones desde el Google Play Store.
El segundo malware se llama Roaming Mantis. Es único debido a su inclusión de un cambiador de DNS, que permite al atacante modificar la configuración de DNS en routers Wi-Fi que resulten vulnerables, lo que también permite que este malware se extienda a otros dispositivos desde el router vulnerable. Ahora, los routers vulnerables se encuentran a través de sus números de modelo en una red, y después de que se detectan, el malware cambia la configuración de DNS. Luego, secuestra la configuración de DNS a través de esta solicitud HTTP, por lo que los clientes conectados al router Wi-Fi serían redirigidos a sitios web maliciosos que podrían usarse para phishing o descargas adicionales de malware.
Roaming Mantis ha estado presente durante varios años, pero su última versión se centra en routers Wi-Fi y se propaga a través de mensajes de phishing SMS. Al igual que Hook, este también pide al usuario que instale un APK malicioso. Si detecta un router vulnerable, intentará acceder al panel de administración del router Wi-Fi con credenciales predeterminadas. Por lo tanto, recuerda cambiar las credenciales de tu router si aún no lo has hecho. Para evitar Roaming Mantis, nuevamente, no instala APKs en tu teléfono Android, solo instala aplicaciones desde la tienda de aplicaciones Google Play y no hagas clic en enlaces enviados a través de SMS.