Cómo eliminar GhostGrab de dispositivos Android
TroyanoConocido también como: Malware bancario GhostGrab
Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué es GhostGrab?
GhostGrab es un malware para Android con doble finalidad que roba datos financieros mientras utiliza en secreto los dispositivos infectados para minar criptomonedas. Recopila datos de acceso a cuentas bancarias, datos de tarjetas y códigos de un solo uso (a través de SMS interceptados), toma huellas dactilares de los dispositivos y ejecuta un minero oculto. Si se detecta en un dispositivo, GhostGrab debe eliminarse lo antes posible.
GhostGrab en detalle
El ataque comienza en un sitio malicioso. Un script de ese sitio redirige automáticamente el navegador y hace que descargue un APK malicioso. El APK descargado es el dropper, la primera etapa utilizada para inyectar otro malware en el dispositivo de la víctima. El dropper engaña a los usuarios con una pantalla falsa de «Actualización» para obtener permiso para instalar aplicaciones directamente (en lugar de a través de Google Play).
Carga una página web remota dentro de un WebView y simula un dispositivo iOS, que puede utilizarse para phishing o para mostrar anuncios maliciosos. El malware también se registra en Firebase para recibir comandos remotos. Por último, lanza un minero de Monero, lo que permite a los ciberdelincuentes utilizar el dispositivo como minero de criptomonedas.
Módulo ladrón bancario
Además, el dropper de GhostGrab inyecta una carga útil de robo de datos bancarios. Este módulo puede leer y capturar notificaciones (incluidos códigos de un solo uso), desactivar o cambiar el modo silencioso, realizar llamadas telefónicas, ejecutar servicios ocultos y leer, copiar y modificar archivos y medios en el dispositivo.
Además, el módulo bancario puede mostrar notificaciones falsas o engañosas, acceder a fotos, vídeos y archivos de audio, leer los ID de los dispositivos y los datos del teléfono, y leer los mensajes de texto almacenados. También puede interceptar los mensajes SMS entrantes (como las contraseñas de un solo uso) y enviar mensajes de texto. El malware se oculta para no aparecer en el lanzador del teléfono y puede ejecutarse silenciosamente en segundo plano.
GhostGrab puede mostrar páginas bancarias falsas y solicitar datos personales, como el nombre, el número de teléfono y el número de cuenta. Si el usuario selecciona la opción de tarjeta de débito, le solicita el número completo de la tarjeta, la fecha de caducidad, el número CVV y el PIN del cajero automático. Si el usuario elige la banca por Internet, el malware le pide su ID de usuario, contraseña de inicio de sesión y contraseña de transacción.
Cada formulario presenta datos introducidos con el formato correcto, por lo que el atacante obtiene información precisa que puede utilizar para hacerse con el control de cuentas o robar dinero. El malware recopila toda esta información en un archivo de datos y la sube a una base de datos en línea (Firebase), lo que permite al atacante acceder a estos datos de forma remota.
Robo de datos SIM
Además, el malware puede robar información sobre las tarjetas SIM y la red móvil del dispositivo. Esto incluye números de teléfono, el nombre del operador, el número de serie único de la tarjeta SIM, la ranura en la que se encuentra cada SIM, los identificadores del dispositivo vinculados a la red móvil y otros detalles relacionados con la red.
GhostGrab también puede interceptar todos los mensajes de texto entrantes. Copia el contenido del mensaje, la información del remitente y los identificadores del dispositivo, y luego envía esa información al atacante. También puede reenviar mensajes directamente al dispositivo del atacante o enviarlos a un número específico.
Es importante señalar que GhostGrab puede buscar términos relacionados con la banca, como «transacción» y «retirada», en los mensajes, lo que permite a los atacantes supervisar los mensajes relacionados con la banca y realizar un seguimiento de las transacciones.
Además, el malware puede activar o desactivar el desvío de llamadas en un dispositivo infectado. Marca códigos especiales para desviar las llamadas entrantes a otro número (el del atacante), oculta que lo ha hecho y puede interceptar llamadas importantes, como las relacionadas con contraseñas de un solo uso.
| Nombre | Malware bancario GhostGrab |
| Tipo de amenaza | Malware para Android, ladrón de información, minero de criptomonedas |
| Nombres de detección | Avast (APK:RepMalware [Trj]), Combo Cleaner (Android.Riskware.Agent.aOZF), ESET-NOD32 (Una variante de Android/TrojanDropper.Agent.MUO), Kaspersky (HEUR:Trojan-Dropper. AndroidOS.Banker.bc), Lista completa (VirusTotal) |
| Síntomas | El dispositivo funciona con lentitud, la configuración del sistema se modifica sin el permiso del usuario, aparecen aplicaciones sospechosas, el uso de datos y batería aumenta significativamente y se muestran anuncios intrusivos. |
| Métodos de distribución | Ingeniería social, sitios web maliciosos, aplicaciones engañosas. |
| Daños | Robo de información personal (mensajes privados, nombres de usuario/contraseñas, etc.), disminución del rendimiento del dispositivo, agotamiento rápido de la batería, disminución de la velocidad de Internet, pérdidas importantes de datos, pérdidas económicas, robo de identidad. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Conclusión
GhostGrab es un malware malicioso para Android que se oculta en el dispositivo, roba información confidencial y se ejecuta en segundo plano sin ser detectado. Captura datos personales, credenciales bancarias, mensajes SMS y datos de la tarjeta SIM o la red, e incluso puede desviar llamadas o interceptar contraseñas de un solo uso (OTP). También utiliza el dispositivo para minar criptomonedas de forma secreta para los atacantes.
Otros ejemplos de ladrones de Android son Klopatra, Datzbro y PhantomCard.
¿Cómo se infiltró GhostGrab en mi dispositivo?
GhostGrab se distribuye a través de un sitio web malicioso que obliga al navegador a descargar un APK dropper y luego engaña al usuario para que lo instale. Las víctimas son redirigidas desde una página maliciosa mediante JavaScript, que descarga automáticamente un APK. A continuación, el dropper muestra una pantalla falsa de «Actualización» de Play Store para engañar a los usuarios y que instalen cargas útiles ocultas fuera de Google Play.
¿Cómo evitar la instalación de malware?
Instala siempre aplicaciones desde la tienda oficial Google Play Store o desde sitios web oficiales, y comprueba las reseñas. No hagas clic en enlaces que encuentres en mensajes de texto, correos electrónicos o publicaciones en redes sociales sospechosos. Actualiza regularmente el sistema operativo y las aplicaciones. Utiliza Google Play Protect y una aplicación de seguridad móvil de confianza.
Además, evita interactuar con anuncios, ventanas emergentes y enlaces que encuentres en sitios web sospechosos.
El malware solicita varios permisos (fuente: cyfirma.com):
GhostGrab muestra formularios falsos para obtener información de tarjetas de débito (fuente: cyfirma.com):
El malware presenta formularios falsos para obtener datos bancarios de Internet (fuente: cyfirma.com):
Menú rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador web Chrome?
- ¿Cómo desactivar las notificaciones del navegador web Chrome?
- ¿Cómo restablecer el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador web Firefox?
- ¿Cómo restablecer el navegador web Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en «modo seguro»?
- ¿Cómo comprobar el uso de batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado predeterminado?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Pulsa «Borrar datos de navegación», selecciona la pestaña «AVANZADO», elige el intervalo de tiempo y los tipos de datos que deseas eliminar y pulsa «Borrar datos».
Desactivar las notificaciones del navegador en el navegador web Chrome:
Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Configuración» en el menú desplegable que se abre.
Desplácese hacia abajo hasta que vea la opción «Configuración del sitio» y pulse sobre ella. Desplácese hacia abajo hasta que vea la opción «Notificaciones» y pulse sobre ella.
Busca los sitios web que envían notificaciones del navegador, pulsa sobre ellos y haz clic en «Borrar y restablecer». Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, cuando vuelvas a visitar el mismo sitio, es posible que te vuelva a solicitar permiso. Puede elegir si desea conceder estos permisos o no (si decide rechazarlos, el sitio web pasará a la sección «Bloqueado» y ya no le volverá a solicitar el permiso).
Restablecer el navegador web Chrome:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplázate hacia abajo hasta encontrar la aplicación «Chrome», selecciónala y pulsa la opción «Almacenamiento».
Pulsa «GESTIONAR ALMACENAMIENTO», luego «BORRAR TODOS LOS DATOS» y confirma la acción pulsando «ACEPTAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador web Firefox:
Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Desplácese hacia abajo hasta que vea «Borrar datos privados» y pulse sobre ello. Seleccione los tipos de datos que desea eliminar y pulse «BORRAR DATOS».
Desactivar las notificaciones del navegador web Firefox:
Visite el sitio web que envía notificaciones del navegador, pulse el icono que aparece a la izquierda de la barra de direcciones URL (el icono no tiene por qué ser necesariamente un «Candado») y seleccione «Editar configuración del sitio».
En la ventana emergente que se abre, selecciona la opción «Notificaciones» y pulsa «BORRAR».
Restablecer el navegador web Firefox:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplácese hacia abajo hasta encontrar la aplicación «Firefox», selecciónela y pulse la opción «Almacenamiento».
Pulsa «BORRAR DATOS» y confirma la acción pulsando «ELIMINAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrás que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse «Desinstalar». Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, si aparece un mensaje de error), pruebe a utilizar el «Modo seguro».
Inicie el dispositivo Android en «modo seguro»:
El «Modo seguro» del sistema operativo Android desactiva temporalmente todas las aplicaciones de terceros. Utilizar este modo es una buena forma de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo funciona «normalmente»).
Pulse el botón «Encendido» y manténgalo pulsado hasta que aparezca la pantalla «Apagar». Toque el icono «Apagar» y manténgalo pulsado. Tras unos segundos, aparecerá la opción «Modo seguro» y podrá ejecutarla reiniciando el dispositivo.
Comprueba el uso de batería de varias aplicaciones:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Mantenimiento del dispositivo» y pulsa sobre ello.
Toca «Batería» y comprueba el uso de cada aplicación. Las aplicaciones legítimas/auténticas están diseñadas para consumir la menor energía posible con el fin de proporcionar la mejor experiencia al usuario y ahorrar energía. Por lo tanto, un uso elevado de la batería puede indicar que la aplicación es maliciosa.
Comprueba el uso de datos de varias aplicaciones:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Conexiones» y pulsa sobre ello.
Desplácese hacia abajo hasta que vea «Uso de datos» y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/auténticas están diseñadas para minimizar el uso de datos en la medida de lo posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar solo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de Wi-Fi.
Si encuentra una aplicación que consume muchos datos aunque nunca la utilice, le recomendamos encarecidamente que la desinstale lo antes posible.
Instala las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad de los dispositivos. Los fabricantes de dispositivos lanzan continuamente diversos parches de seguridad y actualizaciones de Android con el fin de corregir errores y fallos que pueden ser aprovechados por los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, por lo que siempre debes asegurarte de que el software de tu dispositivo esté actualizado.
Ve a «Configuración», desplázate hacia abajo hasta que veas «Actualización de software» y pulsa sobre ella.
Toca «Descargar actualizaciones manualmente» y comprueba si hay alguna actualización disponible. Si es así, instálalas inmediatamente. También recomendamos habilitar la opción «Descargar actualizaciones automáticamente», que permitirá al sistema notificarte cuando se publique una actualización y/o instalarla automáticamente.
Restablecer el sistema a su estado predeterminado:
Realizar un «Restablecimiento de fábrica» es una buena forma de eliminar todas las aplicaciones no deseadas, restaurar la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado original.
También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.
Ve a «Ajustes», desplázate hacia abajo hasta que veas «Acerca del teléfono» y pulsa sobre ello.
Desplácese hacia abajo hasta que vea «Restablecer» y pulse sobre él. Ahora elija la acción que desea realizar:
Restablecer ajustes: restaura todos los ajustes del sistema a los valores predeterminados;
"Restablecer ajustes de red: restaura todos los ajustes relacionados con la red a los valores predeterminados;
"Restablecimiento de datos de fábrica: restablece todo el sistema y elimina por completo todos los datos almacenados;
Desactive las aplicaciones que tienen privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador, puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible, siempre debes comprobar qué aplicaciones tienen esos privilegios y desactivar las que no deberían tenerlos.
Ve a «Configuración», desplázate hacia abajo hasta que veas «Pantalla de bloqueo y seguridad» y pulsa sobre ella.
Desplácese hacia abajo hasta que vea «Otros ajustes de seguridad», pulse sobre él y, a continuación, pulse «Aplicaciones de administración del dispositivo».
Identifique las aplicaciones que no deberían tener privilegios de administrador, pulse sobre ellas y, a continuación, pulse «DESACTIVAR».
Preguntas frecuentes (FAQ)
Mi dispositivo está infectado con el malware GhostGrab, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?
GhostGrab se puede eliminar restableciendo los ajustes de fábrica del dispositivo, pero esto también borra todos los datos almacenados. Antes de dar ese paso, prueba a escanear el dispositivo con una aplicación antivirus de confianza, como Combo Cleaner.
¿Cuáles son los mayores problemas que puede causar el malware?
El malware puede utilizarse para robar datos personales, dañar sistemas, cifrar archivos, proporcionar acceso remoto a los atacantes, instalar herramientas maliciosas adicionales y, en última instancia, provocar pérdidas económicas, robo de identidad, pérdida de datos y otros problemas.
¿Cuál es el propósito de GhostGrab?
GhostGrab está diseñado para robar de forma secreta información bancaria y personal de dispositivos Android, interceptar mensajes y llamadas, y ejecutar un minero de criptomonedas.
¿Cómo se infiltró GhostGrab en mi dispositivo?
Es probable que el malware se haya distribuido desde un sitio web malicioso que obligó a su navegador a descargar un APK dropper y luego lo engañó para que lo instalara. Posteriormente, el dropper mostró una pantalla falsa de «Actualización» de Play Store para obligarlo a instalar cargas útiles ocultas fuera de Google Play.
¿Combo Cleaner me protegerá contra el malware?
Combo Cleaner puede identificar y eliminar la mayoría del malware conocido, pero las amenazas más sofisticadas pueden ocultarse en lo más profundo del sistema, por lo que es necesario realizar un análisis completo del dispositivo.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión