Cómo eliminar PixPirate de un dispositivo infectado
Escrito por Tomas Meskauskas el
¿Qué tipo de malware es PixPirate?
PixPirate es un peligroso troyano bancario para Android capaz de realizar ataques ATS (Automatic Transfer System). Esto permite a los delincuentes transferir fondos automáticamente a través de la plataforma Pix Instant Payment, que utilizan numerosos bancos brasileños.
Además de lanzar ataques ATS, PixPirate puede interceptar y borrar mensajes SMS, impedir el proceso de desinstalación y llevar a cabo ataques de malvertising.
Resumen de PixPirate
Uno de los componentes del troyano PixPirate aprovecha los Servicios de Accesibilidad para robar contraseñas bancarias. Este módulo incluye una función única diseñada específicamente para cada banco objetivo, teniendo en cuenta el diseño distinto de cada aplicación bancaria.
El PixPirate puede identificar los distintos elementos de la interfaz de usuario de la actividad bancaria a través de los Servicios de Accesibilidad y capturar la introducción de la contraseña que aparece en pantalla. Si se produce algún cambio en el texto de la contraseña, PixPirate captura la contraseña de la víctima.
Los creadores de PixPirate también diseñaron un archivo JavaScript específico para cada banco objetivo con el fin de controlar las distintas etapas de las transacciones fraudulentas. Puede identificar elementos de la interfaz de usuario (p. ej., botones, texto, entradas) dentro de las aplicaciones objetivo para determinar qué actividad se muestra en el dispositivo de la víctima.
Además, puede determinar el saldo de la cuenta para calcular la cantidad de dinero que se va a robar. Estos pasos se realizan para completar las transacciones fraudulentas.
PixPirate también tiene la capacidad de borrar mensajes SMS que contengan un texto específico. Puede ejecutar acciones como hacer clic prolongado, pulsar el botón de borrar y confirmar el proceso de borrado. PixPirate puede ocultar estas actividades mostrando una ventana de carga y silenciando el dispositivo durante el proceso de borrado.
PixPirate también puede realizar ataques de malvertising a través de notificaciones push y desactivar Google Play Protect. Malvertising se refiere a la práctica de propagar malware a través de la publicidad online. Esto suele hacerse insertando anuncios maliciosos o infectados en redes de publicidad en línea y páginas web legítimas.
Google Play Protect es una función de seguridad que analiza las aplicaciones y los dispositivos en busca de comportamientos maliciosos. Antes de que un usuario descargue una aplicación de Google Play Store, realiza una comprobación de seguridad para asegurarse de que está libre de elementos dañinos. Google Play Protect también comprueba si un dispositivo tiene alguna aplicación potencialmente dañina que pueda haber sido instalada desde otras fuentes.
| Nombre | Troyano PixPirate |
| Tipo de amenaza | Malware para Android, aplicación maliciosa, aplicación no deseada. |
| Nombres de detección | Avast-Mobile (Android:Evo-gen [Trj]), BitDefenderFalx (Android.Riskware.Agent.KGX), ESET-NOD32 (Una variante de Android/Spy.Banker.BQK), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Banbra.aa), Lista completa (VirusTotal) |
| Síntomas | El dispositivo va lento, los ajustes del sistema se modifican sin permiso del usuario, aparecen aplicaciones dudosas, el consumo de datos y batería aumenta significativamente, los navegadores redirigen a sitios web dudosos y se muestran anuncios intrusivos. |
| Métodos de distribución | Aplicaciones falsas como Bonus Authenticator, Golden Star, Key Authenticator y otros droppers. |
| Daños | Mensajes SMS eliminados, disminución del rendimiento del dispositivo, la batería se agota rápidamente, disminución de la velocidad de Internet, pérdida de datos, pérdida monetaria, robo de identidad. |
| Eliminación de malware (Android) | Para eliminar las infecciones de malware, nuestros investigadores de seguridad recomiendan escanear el dispositivo Android con un software antimalware legítimo. Recomendamos Avast, Bitdefender, ESET o Malwarebytes. |
Conclusión
Tener un dispositivo infectado con PixPirate puede causar pérdidas financieras, infecciones adicionales y otros problemas. Aunque PixPirate está todavía en sus primeras etapas de desarrollo, ya se ha visto que tiene como objetivo la plataforma de pago instantáneo Pix utilizada por múltiples bancos brasileños. Existe la posibilidad de que el troyano ataque a otros países en el futuro.
Otros ejemplos de malware dirigido a usuarios de Android son Hook, Gigabud, y Pegasus.
¿Cómo se infiltró PixPirate en mi dispositivo?
PixPirate disfraza sus intenciones dañinas utilizando nombres e iconos familiares, apareciendo como una aplicación genuina para sus víctimas. Algunos ejemplos son Bonus Authenticator, Golden Star y Key Authenticator. Es probable que estas aplicaciones se distribuyan a través de Google Play u otros canales.
La distribución de PixPirate suele realizarse a través de una aplicación dropper, que se utiliza para descargar e instalar el troyano bancario. Tras la instalación, PixPirate intenta inmediatamente habilitar los Servicios de Accesibilidad, solicitando insistentemente a la víctima con falsas ventanas emergentes hasta que conceda el permiso.
Una vez que la víctima concede los permisos, PixPirate activará todas sus funciones maliciosas.
¿Cómo evitar la instalación de malware?
Lea las reseñas e investigue las aplicaciones antes de descargarlas. Descargue aplicaciones únicamente de sitios web y tiendas oficiales, y evite descargarlas de fuentes dudosas. Tenga cuidado al hacer clic en enlaces sospechosos recibidos por correo electrónico o SMS. Mantenga Google Play Protect activado en todo momento.
Actualice regularmente todas las aplicaciones instaladas para asegurarse de que cuentan con los últimos parches de seguridad.
Captura de pantalla de las fases de instalación del troyano Bonus Authenticator (fuente: cleafy.com):
Menú de acceso rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador web Chrome?
- ¿Cómo desactivar las notificaciones del navegador web Chrome?
- ¿Cómo resetear el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador Firefox?
- ¿Cómo desactivar las notificaciones del navegador Firefox?
- ¿Cómo resetear el navegador Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en "Modo seguro"?
- ¿Cómo comprobar el uso de la batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado por defecto?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable que se abre.
Pulse "Borrar datos de navegación", seleccione la pestaña "AVANZADO", seleccione el intervalo de tiempo y los tipos de datos que desea eliminar y pulse "Borrar datos".
Desactivar las notificaciones del navegador en el navegador web Chrome:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Configuración" en el menú desplegable abierto.
Baje hasta que vea la opción "Configuración del sitio" y tóquela. Baje hasta que vea la opción "Notificaciones" y tóquela.
Busque los sitios web que envían notificaciones del navegador, pulse sobre ellos y haga clic en "Borrar y restablecer". Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, si vuelve a visitar el mismo sitio, es posible que le vuelva a pedir permiso. Puede elegir si desea conceder estos permisos o no (si decide rechazarlos, el sitio web pasará a la sección "Bloqueados" y ya no le pedirá el permiso).
Resetear el navegador Chrome:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Baje hasta que encuentre la aplicación "Chrome", selecciónela y pulse la opción "Almacenamiento".
Pulse "ADMINISTRAR ALMACENAMIENTO", luego "BORRAR TODOS LOS DATOS" y confirme la acción pulsando "OK". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador Firefox:
Pulse el botón "Menú" (tres puntos en la esquina superior derecha de la pantalla) y seleccione "Historial" en el menú desplegable que se abre.
Baje hasta que vea "Borrar datos privados" y tóquelo. Seleccione los tipos de datos que desea eliminar y pulse "BORRAR DATOS".
Desactivar las notificaciones del navegador en el navegador web Firefox:
Visite el sitio web que está enviando las notificaciones del navegador, toque el icono que aparece a la izquierda de la barra de URL (el icono no será necesariamente un "candado") y seleccione "Editar configuración del sitio".
En la ventana emergente abierta, seleccione la opción "Notificaciones" y pulse "BORRAR".
Resetear el navegador web Firefox:
Vaya a "Ajustes", baje hasta que vea "Aplicaciones" y pulse sobre ella.
Desplácese hacia abajo hasta encontrar la aplicación "Firefox", selecciónela y pulse la opción "Almacenamiento".
Pulse "BORRAR DATOS" y confirme la acción pulsando "BORRAR". Tenga en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, los ajustes no predeterminados y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Aplicaciones" y tóquelo.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse "Desinstalar". Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, aparece un mensaje de error), pruebe a utilizar el "Modo seguro".
Arrancar el dispositivo Android en "Modo seguro":
El "Modo seguro" en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. El uso de este modo es una buena manera de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo está funcionando "normalmente").
Pulse el botón de encendido y manténgalo pulsado hasta que aparezca la pantalla "Apagar". Pulse el icono "Apagar" y manténgalo pulsado. Después de unos segundos aparecerá la opción "Modo seguro" y podrá ejecutarlo reiniciando el dispositivo.
Comprobar el uso de la batería de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Mantenimiento del dispositivo" y tóquelo.
Pulse "Batería" y compruebe el uso de cada aplicación. Las aplicaciones auténticas/legítimas están diseñadas para consumir la menor cantidad de energía posible con el fin de ofrecer la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Comprobar el uso de datos de varias aplicaciones:
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Conexiones" y tóquelo.
Desplácese hacia abajo hasta que vea "Uso de datos" y seleccione esta opción. Al igual que con la batería, las aplicaciones auténticas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar sólo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de datos Wi-Fi.
Si encuentra una aplicación que utiliza muchos datos a pesar de que nunca la utiliza, le recomendamos encarecidamente que la desinstale lo antes posible.
Instalar las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica cuando se trata de la seguridad del dispositivo. Los fabricantes de dispositivos lanzan continuamente varios parches de seguridad y actualizaciones de Android para corregir errores y fallos de los que pueden aprovecharse los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, por lo que siempre hay que asegurarse de que el software del dispositivo está actualizado.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Actualización de software" y tóquelo.
Pulse "Descargar actualizaciones manualmente" y compruebe si hay actualizaciones disponibles. Si es así, instálalas inmediatamente. También recomendamos activar la opción "Descargar actualizaciones automáticamente" - permitirá que el sistema le notifique cuando se publique una actualización y/o la instale automáticamente.
Restablecer el sistema a su estado por defecto:
Realizar un "Reset de Fábrica" es una buena manera de eliminar todas las aplicaciones no deseadas, restaurar la configuración del sistema a su estado por defecto y limpiar el dispositivo en general. Sin embargo, hay que tener en cuenta que se borrarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etcétera. En otras palabras, el dispositivo se restaurará a su estado primitivo.
También puede restaurar los ajustes básicos del sistema y/o simplemente los ajustes de red.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Acerca del teléfono" y tóquelo.
Desplácese hacia abajo hasta que vea "Restablecer" y tóquelo. Ahora seleccione la acción que desea realizar:
"Restablecer ajustes": restablece todos los ajustes del sistema a sus valores predeterminados;
"Restablecer ajustes de red": restablece todos los ajustes de red a sus valores predeterminados;
"Restablecer datos de fábrica": restablece todo el sistema y borra completamente todos los datos almacenados;
Desactivar las aplicaciones que tengan privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible siempre hay que comprobar qué aplicaciones tienen dichos privilegios y desactivar las que no deberían.
Vaya a "Ajustes", desplácese hacia abajo hasta que vea "Pantalla de bloqueo y seguridad" y tóquelo.
Desplácese hacia abajo hasta que vea "Otros ajustes de seguridad", tóquelo y, a continuación, toque "Aplicaciones de administrador del dispositivo".
Identifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y, a continuación, toque "DESACTIVAR".
Preguntas frecuentes (FAQ)
¿Cuáles son los mayores problemas que puede causar el malware?
Robo de información personal como contraseñas, números de tarjetas de crédito y otros datos confidenciales. Robo de identidad, pérdidas económicas y propagación de malware a otros dispositivos. Instalación de malware adicional o programas no deseados y otros problemas.
¿Cuál es el objetivo del malware PixPirate?
PixPirate puede robar credenciales bancarias y lanzar ataques ATS contra múltiples bancos brasileños a través de la plataforma de pagos Pix. También tiene capacidad para interceptar y borrar mensajes SMS, impedir la desinstalación y realizar ataques de malvertising.
¿Cómo se infiltró el malware PixPirate en mi dispositivo?
Se sabe que PixPirate se distribuye a través de aplicaciones dropper (aplicaciones troyanizadas) como Bonus Authenticator, Golden Star, Key Authenticator y otras aplicaciones. Tras la instalación, PixPirate intenta inmediatamente habilitar los Servicios de Accesibilidad. Tras conceder los permisos, PixPirate inicia sus actividades maliciosas.
¿Me protegerá Combo Cleaner del malware?
Combo Cleaner es una herramienta de detección y eliminación de malware que puede ayudar a proteger tu dispositivo contra una amplia gama de amenazas. Es importante ejecutar un análisis completo del sistema para comprobar a fondo el dispositivo y asegurarse de que se detecta y elimina cualquier infección de malware oculta o arraigada.
¡Excelente!
▼ Mostrar discusión.