Llamado Android/Spy.Agent.si, este malware ha afectado a usuarios de 19 bancos con sede en Australia, Nueva Zelanda y Australia. Este malware no solo imita una aplicación de móvil basado en FlashPlayer, sino que también realizar una derivación (bypass) en la autenticación en dos pasos a través de SMS.

Lukas Stefanko, investigador de malware en ESET, ha escrito en uno de los blogs de la empresa que una vez descargada la aplicación lo primero que hace es solicitar la concesión de permisos de administración sobre el dispositivo. Una vez cumplido esto, una serie de medidas defensivas empiezan a funcionar para proteger y esconder la aplicación maliciosa.

Obtener los permisos de administrador es solo la primera línea de defensa, ya que esto permite a la aplicación volverse muy difícil de desinstalar. En el siguiente paso el malware elimina el icono de Flash Player. Luego el malware contacta con su servidor de mando de control para transmitirle información básica del dispositivo como el modelo, número IMEI, versión del SDK, si la cuenta del administrador del dispositivo está activada o no, y también realiza una lista de hasta 49 aplicaciones instaladas, aunque esto no quiere decir que todas estén infectadas. El siguiente paso que realiza este troyano es crear una pantalla de acceso falsa que solo puede ser eliminada cuando el usuario introduce sus credenciales. Una vez recopilados todos los datos, estos son enviados al servidor remoto utilizado por el malware.

Una vez que ha conseguido instalarse con éxito, Android/Spy.Agent.si puede interceptar y desviar la autenticación en dos pasos del banco a través de SMS, por lo que la víctima puede no darse cuenta de que algo no va bien.

Para neutralizar este troyano, el usuario tiene que dirigirse a Ajustes > Seguridad > Administradores del dispositivo > Flash Player > Desactivar. Al intentar desactivar Flash Player en Android saltará un aviso. Lo mejor aquí es ignorarlo y pulsar sobre OK.

Después de inhabilitar Flash Player se puede proceder a su desinstalación a través de Ajustes > Aplicaciones > Flash Player > Desinstalar.

El borrado de la aplicación puede volverse más difícil si el dispositivo recibe un comando desde el servidor que inhabilita la revocación de los permisos de administrador. Si esto es así, cuando el usuario intenta revocar los permisos, el malware crea una actividad de superposición en primer plano que evita que el usuario pueda pulsar sobre el botón de confirmación, fallando así la revocación de los permisos.

Como alternativa el usuario puede acceder al Modo Seguro de Android, que evita el inicio de las aplicaciones de tercreos. Esto permite desactivar los permisos de administrador de forma segura y también desinstalar la aplicación.

Merece la pena recordar que Flash para Android lleva años descontinuado, esto quiere decir que lleva mucho tiempo sin recibir actualizaciones que puedan corregir fallos de seguridad, además de no encontrarse en la Play Store de Google. En caso de ver cualquier software relacionado con Flash para Android lo mejor es evitarlo a toda costa, porque muy posiblemente se trate de un malware.

 

Fuente: muyseguridad