Cómo evitar la instalación de AlienBot Banker
Escrito por Tomas Meskauskas el (actualizado)
¿Qué es AlienBot Banker?
AlienBot (o simplemente Alien) Banker es el nombre de un malware de banca móvil dirigido a usuarios de Android. Por lo general, los ciberdelincuentes detrás de malware de este tipo intentan robar información sensible asociada con aplicaciones financieras, cuentas.
AlienBot Banker se utiliza para robar cuentas bancarias. Las investigaciones muestran que se distribuye junto con MRAT (un troyano de administración remota) que permite a los atacantes realizar ciertas acciones en el dispositivo Android infectado.
AlienBot Banker se distribuye mediante un dropper que los ciberdelincuentes difunden a través de la tienda Google Play.
Resumen del malware AlienBot Banker
Como se mencionó en el párrafo de introducción, AlienBot Banker (y el troyano de acceso remoto llamado MRAT) se instala a través de un dropper (un cierto tipo de troyano que está diseñado para instalar su carga útil) que se propaga a través de Google Play store. Dicho dropper utiliza un conjunto de técnicas para evitar ser detectado por Google Play Protect y pasar desapercibido.
Es importante mencionar que el dropper utilizado para propagar AlienBot Banker se distribuye a través de diferentes aplicaciones de código abierto (por ejemplo, BeatPlayer, Cake VPN, Call-Recorder, eVPN, Music Player, Pacific VPN, QRecorder, QR/Barcode Scanner MAX) en la tienda Google Play con un código malicioso incorporado que se puede utilizar para soltar (instalar) diferentes cargas útiles.
Si el dispositivo Android infectado detiene la instalación de aplicaciones descargadas de fuentes desconocidas, el dropper muestra una solicitud falsa de Google Play Services pidiendo que se inicie la instalación. Si se instala, la carga útil descrita, AlienBot Banker, se dirige a aplicaciones financieras e intenta robar sus credenciales de inicio de sesión y códigos 2FA (autenticación de dos factores).
Se sabe que este malware para Android puede robar credenciales de inicio de sesión de más de 200 aplicaciones (banca, correo electrónico, redes sociales y otras apps). Las investigaciones muestran que AlienBot puede utilizarse para grabar pulsaciones de teclas y mensajes SMS, recopilar información del dispositivo, contactos, lista de aplicaciones instaladas, realizar peticiones USSD, reenviar llamadas, instalar, eliminar e iniciar aplicaciones, bloquear la pantalla, mostrar páginas web arbitrarias, lanzar superposiciones de pantalla, ocultar su icono, impedir que las víctimas lo eliminen, listar y reenviar mensajes SMS y detectar emuladores.
Normalmente, los ciberdelincuentes utilizan las cuentas robadas para realizar transacciones no autorizadas, pagos o venderlas en la darknet a otros ciberdelincuentes. Como se mencionó anteriormente, el dropper utilizado para distribuir AlienBot Banker puede instalar un troyano de acceso remoto que podría utilizarse para controlar ciertas funciones y utilizarlas para instalar aplicaciones en un dispositivo, controlarlo remotamente, etc.
Nombre | Malware para móviles AlienBot Banker |
Tipo de amenaza | Malware para Android, aplicación maliciosa, aplicación no deseada. |
Nombres de detección | Avast-Mobile (APK:RepMalware [PUP]), BitDefenderFalx (Android.Trojan.Banker.UA), ESET-NOD32 (Android/TrojanDownloader.Agent.UT), Kaspersky (HEUR:Trojan-Dropper.AndroidOS.Clast82.b), Lista completa (VirusTotal) |
Síntomas | El dispositivo va lento, los ajustes del sistema se modifican sin permiso del usuario, aparecen aplicaciones dudosas, el consumo de datos y batería aumenta significativamente, los navegadores redirigen a sitios web dudosos, aparecen anuncios intrusivos. |
Métodos de distribución | Dropper distribuido a través de aplicaciones infectadas disponibles en la tienda Google Play |
Daños | Información personal robada, pérdidas monetarias, identidad robada, instalación de software no deseado |
Eliminación de malware (Android) | Para eliminar las infecciones de malware, nuestros investigadores de seguridad recomiendan escanear el dispositivo Android con un software antimalware legítimo. Recomendamos Avast, Bitdefender, ESET y Malwarebytes. |
Ejemplos de malware específico para Android
Más ejemplos de malware para móviles Android son BlackRock, FluBot, y Basbanke. Los ejemplos proporcionados son aplicaciones maliciosas dirigidas a información asociada con aplicaciones financieras, cuentas bancarias.
Normalmente, los usuarios atacados pierden el acceso a sus cuentas, sufren pérdidas monetarias o se encuentran con otros problemas (por ejemplo, se convierten en víctimas de un robo de identidad). Por lo tanto, se recomienda encarecidamente tomar ciertas precauciones para mantener un dispositivo seguro y analizarlo regularmente en busca de amenazas y otros problemas.
¿Cómo se infiltró AlienBot Banker en mi dispositivo?
AlienBot Banker se distribuye a través de un instalador dropper/malware que los ciberdelincuentes difunden a través de aplicaciones en la tienda Google Play. Las investigaciones muestran que ese dropper descarga sus cargas útiles desde GitHub.
Hay muchas aplicaciones en la tienda Google Play con diferentes repositorios de GitHub utilizados para distribuir no solo AlienBot Banker, sino también otras cargas útiles. Es importante mencionar que las aplicaciones maliciosas pueden distribuirse a través de fuentes poco fiables como páginas no oficiales, descargadores de terceros, redes Peer-to-Peer (por ejemplo, clientes torrent, eMule), páginas de alojamiento gratuito de archivos y otros canales de este tipo también.
También pueden proliferar a través de correos electrónicos (con archivos adjuntos o enlaces a sitios web en ellos), falsos actualizadores de software, herramientas de "cracking" diseñadas para activar ilegalmente software con licencia. No obstante, los ciberdelincuentes utilizan las vías mencionadas para distribuir programas maliciosos cuando pretenden infectar ordenadores de sobremesa.
¿Cómo evitar la instalación de programas maliciosos?
Es muy recomendable descargar aplicaciones desde páginas oficiales, plataformas legítimas y a través de enlaces directos. Es probable que se utilicen páginas no oficiales, tiendas de terceros, descargadores de terceros, etc. para distribuir aplicaciones infectadas.
Además, es importante activar y actualizar cualquier software instalado con funciones implementadas o herramientas proporcionadas por los desarrolladores oficiales. Nunca es seguro utilizar herramientas no oficiales de terceros, ya que pueden contener malware.
Además, no es legal activar aplicaciones con licencia con herramientas no oficiales ni utilizar programas pirateados. Otra forma de evitar descargas e instalaciones no deseadas es analizar cuidadosamente los correos electrónicos recibidos.
No se deben abrir los archivos o enlaces de correos electrónicos irrelevantes recibidos de remitentes desconocidos. Es habitual que los ciberdelincuentes utilicen archivos adjuntos o enlaces de correo electrónico para distribuir su malware.
Por lo general, los correos electrónicos utilizados para enviar programas maliciosos se disfrazan de correos importantes de empresas, organizaciones, etc. legítimas. Una recomendación adicional es analizar el dispositivo en busca de virus con regularidad y asegurarse de mantener actualizada la solución antivirus o antiespía instalada.
Menú de acceso rápido:
- Introduction
- ¿Cómo eliminar el historial de navegación del navegador Chrome?
- ¿Cómo desactivar las notificaciones del navegador Chrome?
- ¿Cómo resetear el navegador Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador Firefox?
- ¿Cómo resetear el navegador Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo seguro"?
- ¿Cómo comprobar el uso de la batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado predeterminado?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable que se abre.
Pulse "Borrar datos de navegación", seleccione la pestaña "AVANZADO", seleccione el intervalo de tiempo y los tipos de datos que desea eliminar y pulse "Borrar datos".
Desactivar las notificaciones del navegador en el navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable abierto.
Baje hasta que vea la opción "Configuración del sitio" y tóquela. Baje hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que ofrecen notificaciones del navegador, pulse sobre ellos y haga clic en "Borrar y restablecer". Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones.
Sin embargo, si vuelve a visitar el mismo sitio, es posible que le vuelva a pedir permiso. Puede elegir si desea conceder estos permisos o no (si decide rechazarlos, el sitio web pasará a la sección "Bloqueados" y ya no le pedirá el permiso).
Resetear el navegador Chrome:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Baje hasta que encuentre la aplicación "Chrome", selecciónela y pulse la opción "Almacenamiento".
Pulse "ADMINISTRAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirme la acción pulsando "OK". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador Firefox:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable abierto.
Baje hasta que vea "Borrar datos privados" y tóquelo. Seleccione los tipos de datos que desea eliminar y pulse "BORRAR DATOS".
Desactivar las notificaciones del navegador en el navegador web Firefox:
Visite el sitio web que está enviando las notificaciones del navegador, toque el icono que aparece a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta seleccione la opción "Notificaciones" y pulse "BORRAR".
Resetear el navegador web Firefox:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y pulse sobre ella.
Baje hasta que encuentre la aplicación "Firefox", selecciónela y pulse la opción "Almacenamiento".
Pulse "BORRAR DATOS" y confirme la acción pulsando "BORRAR". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, aparece un mensaje de error), pruebe a utilizar el "Modo seguro".
Arrancar el dispositivo Android en "Modo seguro":
El "Modo seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo está funcionando "normalmente").
Pulse el botón de encendido y manténgalo pulsado hasta que aparezca la pantalla "Apagar". Pulse el icono "Apagar" y manténgalo pulsado. Después de unos segundos aparecerá la opción "Modo seguro" y podrá ejecutarlo reiniciando el dispositivo.
Comprobar el uso de la batería de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Mantenimiento del dispositivo" y tóquelo.
Pulse "Batería" y compruebe el uso de cada aplicación. Las aplicaciones auténticas/legítimas están diseñadas para consumir la menor cantidad de energía posible con el fin de ofrecer la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Comprobar el uso de datos de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Conexiones" y tóquelo.
Desplácese hacia abajo hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones auténticas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa.
Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar sólo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de datos Wi-Fi.
Si encuentra una aplicación que utiliza muchos datos a pesar de que nunca la utiliza, le recomendamos encarecidamente que la desinstale lo antes posible.
Instalar las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica cuando se trata de la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y fallos de los que pueden aprovecharse los ciberdelincuentes.
Un sistema obsoleto es mucho más vulnerable, por lo que siempre hay que asegurarse de que el software del dispositivo está actualizado.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Actualización de software" y tóquelo.
Pulse "Descargar actualizaciones manualmente" y compruebe si hay actualizaciones disponibles. Si es así, instálalas inmediatamente. También recomendamos activar la opción "Descargar actualizaciones automáticamente" - permitirá que el sistema le notifique cuando se publique una actualización y/o la instale automáticamente.
Restablecer el sistema a su estado por defecto:
Realizar un "Reset de fábrica" es una buena forma de eliminar todas las aplicaciones no deseadas, restablecer la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, hay que tener en cuenta que todos los datos dentro del dispositivo serán eliminados, incluyendo fotos, archivos de vídeo/audio, números de teléfono (almacenados dentro del dispositivo, no en la tarjeta SIM), mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado primitivo.
También puede restaurar los ajustes básicos del sistema y/o simplemente los ajustes de red.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Acerca del teléfono" y tóquelo.
Desplácese hacia abajo hasta que vea "Restablecer" y tóquelo. Ahora seleccione la acción que desea realizar:
"Restablecer ajustes": restablece todos los ajustes del sistema a sus valores predeterminados;
"Restablecer ajustes de red": restablece todos los ajustes de red a sus valores predeterminados;
"Restablecer datos de fábrica": restablece todo el sistema y borra por completo todos los datos almacenados;
Desactivar aplicaciones con privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible siempre hay que comprobar qué aplicaciones tienen dichos privilegios y desactivar las que no deberían.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Pantalla de bloqueo y seguridad" y tóquelo.
Desplácese hacia abajo hasta que vea "Otros ajustes de seguridad", tóquelo y, a continuación, toque "Aplicaciones de administrador del dispositivo".
Identifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y, a continuación, toque "DESACTIVAR".
Preguntas frecuentes (FAQ)
Mi dispositivo Android está infectado con el malware AlienBot Banker, ¿debo formatear mi dispositivo de almacenamiento para deshacerme de él?
No, la eliminación de AlienBot Banker no requiere formateo.
¿Cuáles son los principales problemas que puede causar el malware AlienBot Banker?
Las amenazas que plantea un programa malicioso dependen de sus funcionalidades y de los objetivos de los ciberdelincuentes. AlienBot Banker es un programa malicioso que roba datos; su objetivo principal es la información relacionada con la banca y las finanzas. Por lo general, este tipo de infecciones pueden provocar graves problemas de privacidad, pérdidas financieras y robo de identidad.
¿Cuál es el objetivo del malware AlienBot Banker?
La mayoría de los programas maliciosos se utilizan para generar ingresos, y las funcionalidades de AlienBot Banker sugieren que también está destinado a este uso. Sin embargo, es pertinente mencionar que los ciberdelincuentes también pueden utilizar el malware para divertirse, llevar a cabo venganzas personales, interrumpir procesos (por ejemplo, sitios web, servicios, empresas, etc.) e incluso lanzar ataques por motivos políticos/geopolíticos.
¿Cómo se infiltró el malware AlienBot Banker en mi dispositivo Android?
Se ha observado que AlienBot Banker se distribuye (bajo la apariencia de aplicaciones normales) a través de la tienda Google Play. Sin embargo, es probable que también se propague mediante otras técnicas. Lo más habitual es que el malware se propague a través de correo basura (p. ej., correos electrónicos, SMS, DMs/PMs, etc.), drive-by downloads, estafas en línea, canales de descarga dudosos (p. ej., sitios web de programas gratuitos y de terceros, redes de intercambio P2P, etc.), publicidad maliciosa, herramientas ilegales de activación de software ("cracks") y actualizaciones falsas.
▼ Mostrar discusión.