Un troyano bancario para Android invita a hacerse un selfie para robar datos
Aprovechando que algunos servicios de tarjetas de crédito como MasterCard han empezado a implementar la posibilidad de hacerse un selfie como sustituto de la contraseña en los pagos, algunos hackers han empezado a aprovecharse de esa característica para engañar a los usuarios.
Investigadores de McAfee han descubierto un nuevo troyano bancario para Android que se enmascara como un plugin de vídeo, Adobe Flash Player, una aplicación pornográfica o un códec de vídeo, para luego pedir al usuario un selfie con su tarjeta de identificación que tendría que ser utilizado para reforzar la seguridad de su tarjeta de crédito. Este troyano es la versión más reciente de Acecard, que ha sido etiquetado como uno de los más peligrosos conocidos hasta el día de hoy, según Kaspersky.
Una vez instalado con éxito, el troyano solicita una serie de permisos sobre el dispositivo para ejecutar el código malicioso y luego espera a que el usuario abra aplicaciones, sobre todo aquellas en las cuales se puede solicitar los datos de la tarjeta de crédito. Llegado a ese punto, el troyano se superpone a sí mismo sobre la aplicación legítima y procede a pedir al usuario el número de la tarjeta de crédito y otros datos relacionados con esta como el nombre del titular, fecha de expiración y número CVV.
Una vez entregados todos los datos solicitados, el troyano empieza a intentar conseguir información personal del usuario, incluyendo su nombre, fecha de nacimiento y dirección de correo electrónico para propósitos de verificación. Lo retorcido del troyano llega incluso más lejos al pedir al usuario una foto de la parte frontal y otra de la parte trasera de la tarjeta de identificación, además de pedirle que se haga una autofoto (o selfie) mientras la está sujetado.
Toda esa información es de gran utilidad para los hackers, que pueden verificar transacciones bancarias ilegales y robar el acceso a las cuentas en las redes sociales de sus víctimas al ser capaces confirmar las identidades robadas. De momento esta versión de Acecard ha impactado sobre todo en Hong Kong y Singapur.
La ingeniería social empleada por el troyano para engañar no es nueva y cualquier usuario que esté atento debería percatarse rápidamente del comportamiento malicioso de Acecard, debido a que Google nunca pide la tarjeta de identificación a sus usuarios. Sin embargo, posiblemente los que estén menos atentos o tengan menos conocimientos acaben picando en el engaño.
Debido a que la mayoría de estas aplicaciones se distribuyen fuera de la Play Store de Google, se recomienda encarecidamente no instalar nada de fuera del canal oficial de distribución de aplicaciones para Android. También es importante recordar que seguir esta recomendación no equivale a poder bajar la guardia.
Por último, ninguna aplicación pide la tarjeta de identificación del usuario, salvo posiblemente una aplicación bancaria. En caso de no fiarse de un posible proceso legítimo lo suyo es recurrir a otras vías para solucionar el problema.
Fuente: Muyseguridad.net