ESET ha desvelado que en Internet hay varias VPN falsas que roban datos de smartphones, como información bancaria. Estos son distribuidos por hackers informáticos del grupo Bahamut y afectan a usuarios de Android desde una web que han creado expresamente para captar nuevas víctimas. Aunque no se centran en todos los usuarios Android, esto podría cambiar, así que no está de más que extremes las precauciones.
Su modus operandi es falsificar clientes móviles SecureVPN, SoftVPN y OpenVPN bajo apps que tienen el spyware Bahamut. Cuando una de estas aplicaciones se instala en el smartphone de sus víctimas, el malware obtiene acceso a sus llamadas, SMS, geolocalización y otra información relevante, entre la que se incluyen datos bancarios.
Se camuflan bajo falsos servicios VPN y te espían
SET pudo identificar al menos 8 versiones de estas aplicaciones infectadas con malware con cambios de código y actualizaciones disponibles en la web que utilizan para su distribución. Si el spyware Bahamut está habilitado, los operadores de Bahamut pueden controlarlo de forma remota y filtrar varios datos confidenciales del dispositivo como los que hemos dicho anteriormente.
Las falsas apps de VPN no están en la tienda de aplicaciones Google Play. Para poder aumentar su alcance, los hackers han creado una web falsa de SecureVPN para distribuir sus aplicaciones maliciosas y así captar nuevas víctimas.
Por supuesto, ni la web ni las apps tienen que ver con el servicio original y de confianza SecureVPN. Si te fijas, la web original es securevpn.com cuando la falsa utiliza el nombre ‘thesecurevpn’ para incitar al engaño. Podrían crear nuevas webs posteriormente o haber más por ahí que no han sido descubiertas.
ESET considera que es una solución hecha a medida para ciertas víctimas y no para todos indiscriminadamente. Las víctimas del ataque han de recibir una clave de activación. El software no se va a ejecutar en dispositivos de usuarios aleatorios, sino que lo inicialmente se están centrando en personas específicas. Lo que buscan es conseguir datos confidenciales de los usuarios y espiar las apps de mensajería como Telegram, WhatsApp, Signal, Viber y Facebook Messenger.
Según ha declarado el investigador de ESET, Lukas Stefanko, la exfiltración de datos se realiza a través de la funcionalidad de registro de teclas del malware, que hace un mal uso de los servicios de accesibilidad. Todos los datos extraídos se almacenan en una base de datos local y posteriormente se envían al servidor de comando y control (C&C). Además, se puede actualizar la app al recibir un enlace a una nueva versión del servidor C&C.
No instales apps desde sitios no confiables
Aunque en este caso, la forma de infectarte es accediendo a esta web y descargando alguna de las apps infectadas, no está de más que extremes las precauciones en el uso del móvil. Es importante no descargar apps de fuentes no confiables ya que tu móvil puede ser infectado por un troyano, virus o minero con las consecuencias que ello tiene, incluso aunque en ocasiones ni te enteres de que tus datos o tu móvil están en peligro.
Si vas a instalar algún servicio VPN para ‘cambiar tu región’, mantener tu privacidad o cualquier otro uso que se le suele dar a este tipo de servicios, comprueba que el dominio es el oficial del servicio y no lo instales desde ningún otro sitio. Si no tienes total seguridad, no instales nada. Además, es bueno que tengas un antivirus en tu móvil y compruebes que no estás instalando nada que pueda perjudicarte. Si es así, desinstala inmediatamente la aplicación maliciosa para evitar que siga afectándote.
The post Falsas VPN están espiando los móviles y robando mensajes appeared first on MovilZona.