Familias de malware para Android atacan aplicaciones bancarias y cripto de 800+ con tasas de detección casi nulas: Zimperium

Mensaje de Gate News, 25 de abril — La empresa de ciberseguridad Zimperium ha identificado cuatro familias activas de malware—RecruitRat, SaferRat, Astrinox y Massiv—dirigidas a más de 800 aplicaciones en los sectores de banca, criptomonedas y redes sociales. Las campañas emplean técnicas avanzadas de evasión del análisis y manipulación estructural de APK para mantener tasas de detección cercanas a cero frente a mecanismos de seguridad tradicionales basados en firmas.

Los atacantes usan sitios web de phishing, ofertas de empleo fraudulentas, actualizaciones de software falsas, estafas por mensajes de texto y señuelos promocionales para engañar a los usuarios e inducirlos a instalar aplicaciones maliciosas de Android. Una vez instaladas, el malware solicita permisos de Accesibilidad para ocultar iconos de la app, bloquear intentos de desinstalación, robar PINes y contraseñas mediante pantallas de bloqueo falsas, interceptar códigos de un solo uso, grabar pantallas en vivo del dispositivo y superponer páginas de inicio de sesión falsificadas sobre aplicaciones legítimas de banca o criptomonedas.

Los ataques de superposición constituyen el núcleo de la estrategia de extracción de credenciales. El malware supervisa la aplicación en primer plano mediante Servicios de Accesibilidad y detecta cuando una víctima inicia una app financiera; después, obtiene una carga útil HTML maliciosa y la superpone sobre la interfaz legítima para crear una fachada engañosa convincente.

Las campañas usan comunicaciones HTTPS y WebSocket para mezclar el tráfico malicioso con la actividad normal de la aplicación, y algunas variantes emplean capas adicionales de cifrado para evadir aún más la detección.