Alertan por virus que roba información bancaria y ataca monederos cripto

Las alarmas se encendieron por un peligroso virus conocido como “Hydra”. Según el portal especializado en informática Una Al Día, se trata de un malware de estilo troyano que afecta a celulares Android. Roba las credenciales bancarias de sus víctimas y también obtiene credenciales de monederos de criptomonedas.

En sus inicios estaba dirigido exclusivamente al sector bancario turco, pero en las últimas muestras estudiadas se ha detectado la incorporación de nuevas entidades de Europa y Latinoamérica.

El troyano ingresa a los dispositivos gracias a aplicaciones falsas. Es especialmente peligroso debido a que las mismas se pueden descargar tanto por medios no oficiales como en el marketplace oficial de apps “Google PlayStore“.

Naturalmente la situación puso en alerta a los usuarios de Android, los principales bancos de la región e incluso algunos exchanges de criptomonedas que también se ven afectados por su funcionamiento.

Uno de los aspectos novedosos del atacante es que también apunta al ecosistema cripto. Esto vuelve posible el robo de las cuentas de los usuarios e incluso sus monederos. La familia de este tipo de virus no es nueva, se detectó por primera vez en 2018 pero no es hasta 2019 cuando el malware comenzó a incorporar funcionalidades de troyano bancario.

Como es usual para una aplicación maliciosa, intentará obtener repetidamente todos los permisos del dispositivo de manera insistente. Insistirá hasta provocar que el usuario se vea obligado a otorgar los permisos, debido a que entra en bucle hasta que estos son aceptados. 

Una vez que lo consiga, el virus ocultará el icono de la aplicación provocando que sea muy complicado para el usuario desinstalar la muestra. Además, el malware se encontrará monitorizando el acceso del usuario a los ajustes del sistemas y cualquier intento de deshacer los permisos será bloqueado.

Detectar y prevenir el virus

Para evitar instalar este tipo de virus, lo ideal es en primer lugar evitar descargar aplicaciones desde sitios web sospechosos. Un ejemplo cotidiano es WhatsApp Plus, por medio del mecanismo APK. Por otro lado, también es recomendable no brindar todos los permisos a las apps y especialmente cuando son permisos dudosos como control del dispositivo o revisión de SMS.

Por otra parte, si una app muestra comportamientos extraños, cómo bloquear el uso del celular a menos que se brinden ciertos permisos, lo más probable es que sea un virus Hydra (o otro tipo de troyano) camuflado.

Entre las características más importantes del virus se destacan:

• Anti-Emulación: Con el fin de evitar que se ejecute en entornos de análisis dispone de diferentes comprobaciones.
• Control remoto del dispositivo: Se descarga la aplicación TeamViewer para luego después ocultar el icono y utilizarla para tomar el control del dispositivo.
• Monitorización de los SMS: Permite ver todos los mensajes SMS del dispositivo de la víctima, tanto la aplicación por defecto como otras aplicaciones que se utilizan para el mismo fin.
• Monitorización de notificaciones: Observa y controla todas las notificaciones del dispositivo.
• Control de aplicaciones: Permite instalar y desinstalar cualquier aplicación.
• Componente PIN: Métodos para controlar y resetear el PIN del dispositivo.
• Control de códigos USSD.
• SOCKS5: Implementa un servidor proxy SOCKS5.
• Keylogger: Capaz de registrar las pulsaciones que se realizan en el teclado.
• Comandos: Gestor de comandos recibidos por el C2.
• Inyecciones: Permite hacer inyecciones de cookies/Webviews.

Más allá de la gran cantidad de países europeos donde se pudo detectar la presencia de “Hydra”, en América Latina fue detectado por Argentina, Colombia y Perú.