Basándose en el antiguo troyano bancario Anubis, cuya funcionalidad quedó obsoleta debido a las actualizaciones de Android y los esfuerzos de los proveedores de detección y prevención de malware, la ciberdelincuencia ha desarrollado una nueva amenaza cibernética. Se trata del troyano bancario Godfather, ideado para atacar a los usuarios de servicios financieros… ¿de todo el mundo?
¿Godfather es obra de ciberdelincuentes rusos?
Según Group-IB, firma de ciberseguridad fundada en 2003 con sede en Singapur, más de 400 empresas financieras de 16 países han sido objetivo del troyano bancario Godfather desde junio de 2021. De ellas, 72 se encuentran en el continente americano: Canadá (22), Estados Unidos (49) y Guatemala (1). Se trata de entidades bancarias y firmas especializadas en billeteras e intercambio de criptomonedas.
Pero, curiosamente, Godfather no parece poner el foco en los territorios que pertenecieron en su día a la extinta Unión Soviética. Al parecer, si las preferencias del sistema de una víctima potencial incluyen uno de los idiomas de esa región, el troyano bancario se cierra. Un dato que invita a pensar que los desarrolladores de Godfather podrían ser rusos.
¿Cómo se distribuye y qué hace el troyano bancario Godfather?
Dirigido a celulares con sistema operativo Android, el troyano bancario Godfather se distribuye a través del modelo Malware-as-a-Service (MaaS) y aplicaciones de señuelo alojadas en Google Play. En cuanto a su funcionamiento, es el siguiente:
- Godfather superpone falsificaciones web en dispositivos infectados que aparecen cuando un usuario interactúa con una notificación de señuelo o intenta abrir una de las aplicaciones legítimas a las que apunta el troyano bancario.
- Cualquier dato, como nombres de usuario y contraseñas, introducido en las falsificaciones web es recolectado por los ciberdelincuentes.
- Además, Godfather puede filtrar mensajes de texto (SMS) y enviar notificaciones para eludir la autenticación de dos factores.
A modo de conclusión, los expertos en seguridad cibernética observan que, al imitar a Google Play Protect, Godfather puede pasar fácilmente desapercibido en los dispositivos infectados. Ajenos al peligro, los usuarios creen que están protegidos por un servicio de Android. Pero, en realidad, los actores maliciosos obtienen acceso a sus cuentas bancarias y del portal financiero.
Consejos para protegerse de Godfather
De cara a protegerse del troyano bancario Godfather, es importante poner en práctica los siguientes consejos:
- Actualizar el celular. Cuanto más reciente sea la versión de Android, menos vulnerable es un dispositivo a las ciberamenazas.
- No descargar aplicaciones de otras fuentes que no sean Google Play.
- Al descargar una aplicación, comprobar qué permisos solicita antes de instalarla. En el caso de Godfather, la comunicación entre el troyano y el servidor solamente se produce después de que se haya concedido acceso a AccessibilityService.
- No visitar sitios web sospechosos.
- No clicar en enlaces incluidos en mensajes SMS.
Y en el supuesto de creer que el dispositivo ha sido infectado, es recomendable seguir estos pasos:
- Deshabilitar el acceso a la Red.
- Congelar cualquier cuenta bancaria a la que se haya accedido desde el dispositivo.
- Contactar con expertos en seguridad cibernética para recabar información detallada sobre los riesgos que el malware podría representar para el celular.
Archivado en: