Imagina la escena: abres tu teléfono, intentas desbloquearlo y, de repente, la pantalla se vuelve negra. Todo parece normal, así que repites el patrón de desbloqueo. La interfaz sigue siendo la misma, pero no recuerda haber abierto la aplicación bancaria en los últimos segundos. Y en ese punto ves el celular, solo, robando todo tu saldo. Suena como una pesadilla, pero es peor, es verdad. Este es un ataque de mano fantasma, una nueva categoría de el malware Víctimas internacionales de alto riesgo nacidas en Brasil y que ya son inquietantes.

Oficialmente llamada Ghost Hand Attack, la modalidad se presentó hoy en el Foro Konferencia @ Casa 2021 de Kaspersky y ataca exclusivamente a dispositivos móviles. El analista de seguridad digital, Fábio Assolini, describió la soplar como “una mano invisible, que usa tu teléfono celular justo frente a ti”, y depende tanto del malware como del fraude para operar.

publicidad

En la práctica, funciona así: un troyano de acceso remoto (RAT) se instala mediante un correo electrónico fraudulento que ofrece una actualización de la aplicación falsa o tácticas de scareware: los famosos anuncios alarmistas de "tu Android está infectado". Y luego, el programa abre el acceso al ciberdelincuente, que puede usar su teléfono celular en tiempo real.

Las RAT evitan todos los sistemas de autenticación de usuarios y dan prioridad a los estafadores en los teléfonos inteligentes. En todos los casos de Ghost Hand Attack, el malware toma el privilegio administrativo del dispositivo. Y eliminarlos no es fácil. Al intentar desinstalar, los programas maliciosos cierran automáticamente la pantalla o los ocultan de la lista de aplicaciones instaladas.

Phantom Hand Attack es indetectable para las instituciones financieras

Hasta ahora, las instituciones solo han detectado tres familias de RAT utilizadas en Ghost Hand Attacks: el grupo de troyanos bancarios Ghimob, BRata y TwMobo. Inicialmente actuando solo en Brasil, hoy los tres programas maliciosos ya han victimizado a personas e instituciones en América Latina, Europa y Estados Unidos.

Y debido a que estas son transacciones directamente desde el teléfono celular de la víctima, es difícil para las instituciones financieras detectar que las transferencias se originan en un fraude. Las RAT no perforan los bloqueos de seguridad o de acceso personal directamente desde el dispositivo infectado. Además, tienen acceso directo a factores de autenticación, como el código SMS y el correo electrónico, y pueden cambiar las contraseñas por las que quieran.

El malware surgió en 2019, pero se ha intensificado ahora

Caballo de Troya / símbolo de un caballo de Troya rojo sobre fondo azul de placa de circuito de computadora
El troyano Ghimob Remote Banking regresa con nuevos bancos de destino. (Imagen: wk1003mike / Shutterstock)

Un pionero del malware Ghost Hand Attack, Brata apareció en 2019 y ahora ha reaparecido con algunas modificaciones. El troyano aparece como una aplicación falsa en la propia Google Play Store y, al infectar un dispositivo, permite el control remoto total del dispositivo, redirigiéndolo a páginas de phishing.

En su resurgimiento, BRata ideó seis nuevas líneas de código para el robo de cuentas bancarias internacionales. El número de instalaciones de esta aplicación Phantom Hand Attack ha llegado a 40.

O Ghimob es otro troyano remoto que actúa de forma similar. Al abusar de la función de detección de movimiento del teléfono inteligente, utilizada para guiar a las personas con baja visión, el troyano rastrea los golpes de todo lo que la víctima ve y hace. De esta forma, captura contraseñas y patrones de desbloqueo.

“La principal novedad de Ghimob es la técnica utilizada para eludir la autenticación biométrica”, explica Assolini. “Los delincuentes llaman a las víctimas haciéndose pasar por el soporte técnico del banco y les piden que confirmen su identidad mediante una videollamada. En este punto, graban la llamada para usar el video para la autenticación bancaria ”.

TwMobo solo se elimina con reinicio móvil o antivirus

Sin embargo, el más reciente de los tres ataques de mano fantasma causa una preocupación aún mayor. Apodado "Difícil de matar", los troyanos TwMobo no solo toman el control total del teléfono inteligente, sino que también bloquean el dispositivo en el modo de protección.

El peligro de este último malware radica en el hecho de que no solo se dirige a los datos bancarios y las redes sociales, sino a todo el comportamiento de la víctima. O troyano también captura los puntos de vista e intereses de la víctima para vender los datos a los comercios electrónicos, actuando como una versión más nefasta de los rastreadores de Facebook.

mujer, utilizar, teléfono celular, con, números, en frente
El malware espía en redes sociales y páginas visitadas para vender datos a empresas. (Imagen: boyhey / Shutterstock)

Para empeorar las cosas, los ataques de esta familia utilizan protecciones más avanzadas que sus predecesores. "TwMobo se oculta después de la instalación", advierte Assolini. "Como los delincuentes tienen permisos de administrador y control de dispositivos, simplemente pueden ocultar el icono en su primer acceso remoto".

El experto advierte que, en todas las incidencias de esta variación, el Phantom Hand Attack solo se pudo eliminar mediante un restablecimiento de fábrica o con un análisis antivirus actualizado.

Leia mais:

Imagen: GSPsp / Shutterstock

¿Has visto nuestros nuevos videos en YouTube? ¡Suscríbase a nuestro canal!