Un potente troyano bancario para Android, conocido como DoubleTrouble, ha evolucionado recientemente, ampliando tanto sus métodos de ataque como sus capacidades técnicas. Esta amenaza afecta ahora a usuarios bancarios en toda Europa con mayor alcance y sigilo.

Inicialmente distribuido a través de sitios web de phishing que imitaban a grandes instituciones financieras, el malware ha cambiado a un método de entrega más difícil de detectar: archivos APK alojados en canales de Discord. Este cambio complica su detección por parte de las herramientas tradicionales de seguridad móvil.

Nuevas funciones, mismo objetivo: robar y controlar

Según la empresa de ciberseguridad Zimperium, los investigadores han analizado múltiples versiones de DoubleTrouble, incluidas nueve de la campaña más reciente. El análisis revela que este malware se ha vuelto más versátil y evasivo, enfocado en robar datos sensibles, secuestrar el comportamiento del usuario y evitar ser detectado.

Una vez en el dispositivo, DoubleTrouble se hace pasar por una aplicación legítima, usando comúnmente un icono de Google Play para parecer confiable. Luego solicita a los usuarios activar los Servicios de Accesibilidad de Android, otorgándole un control extenso sobre el sistema.

Al ocultar su carga maliciosa dentro de los directorios internos de la app, DoubleTrouble evita las alertas tempranas durante la instalación. Este enfoque sigiloso le permite obtener control silenciosamente en segundo plano.

Entre sus capacidades más recientes se incluyen:

• Grabación de pantalla en tiempo real usando APIs de MediaProjection y VirtualDisplay
• Pantallas de bloqueo falsas para capturar PINs, patrones y contraseñas
• Keylogging a través del seguimiento de eventos de accesibilidad
• Bloqueo de aplicaciones, especialmente herramientas bancarias o de seguridad
• Superposiciones de phishing que imitan pantallas de inicio de sesión legítimas

Toda la información recopilada se codifica y transmite a un servidor de comando y control (C2) remoto. Los datos incluyen credenciales de aplicaciones bancarias, gestores de contraseñas y billeteras de criptomonedas. Mediante la duplicación en tiempo real de la pantalla, los atacantes pueden eludir la autenticación multifactor (MFA) y acceder a contenido confidencial exactamente como lo ve el usuario.

Comandos remotos que otorgan control total

El malware puede ejecutar una amplia gama de comandos enviados desde su servidor C2, lo que permite a los atacantes mantener un control persistente y profundo sobre los dispositivos infectados. Estos comandos simulan toques y gestos, muestran pantallas falsas e incluso manipulan configuraciones del sistema.

Entre los comandos más destacados se encuentran:

• send_password – para extraer datos de acceso
• start_graphical – para activar la monitorización visual
• block_app – para restringir el acceso a apps seleccionadas

Zimperium advierte que DoubleTrouble representa un nuevo nivel de sofisticación en amenazas móviles, combinando ofuscación de código, superposiciones dinámicas y captura de pantalla en tiempo real para mantenerse oculto y efectivo.

Con su evolución constante y su distribución a través de plataformas confiables como Discord, DoubleTrouble subraya la necesidad urgente de adoptar prácticas de seguridad móvil más sólidas, especialmente para organizaciones e individuos que manejan datos financieros.

Fuente: https://www.infosecurity-magazine.com/news/android-malware-targets-banks-via