Uno de los primeros proveedores de ciberseguridad en detectar el abuso de los servicios de accesibilidad de Android, los investigadores del VMX Lab de Verimatrix detectan ahora variaciones de este tipo de ataque con bastante regularidad. 

La solución XTD (Extended Threat Defense) de Verimatrix tiene incorporada la detección del abuso de los servicios de accesibilidad de Android, lo que permite a su organización aprovechar la capacidad de detección como una herramienta de prevención automática basada en SIEM. Los desarrolladores deberían solicitar un chat con un especialista de Verimatrix para saber lo rápida y sencilla que puede ser la implantación de XTD para su equipo. Hasta entonces, los usuarios de aplicaciones no deberían conceder permisos indebidos y utilizar únicamente la tienda oficial.

Verimatrix escribió sobre los ataques basados en ATS a principios de este año, destacando GoatRAT y cómo la suplantación de pantalla no sólo es peligrosa, sino que va en aumento. La empresa también publicó un post informativo titulado Suplantación de pantalla: Dangerous Mobile App Overlay Attacks On the Rise que ofrece una explicación detallada de cómo se producen los ataques de superposición de pantalla y por qué son una amenaza.

VMX Labs ha detectado un cambio

Un troyano Android bastante nuevo llamado GoldDigger asomó la cabeza en Vietnam este verano, y parece ser sólo uno de los últimos troyanos que están explotando el servicio de accesibilidad en Android, que está destinado a ayudar a los usuarios con discapacidad a navegar más fácilmente por sus dispositivos. Los desarrolladores no pueden desactivar los servicios de accesibilidad.

Hasta hace poco, la mayoría de los programas maliciosos que tenían en su punto de mira las aplicaciones móviles bancarias utilizaban los servicios de accesibilidad solo de forma opcional como desencadenante para iniciar el ataque. Y se basaban en las clásicas superposiciones para llevar a cabo el ataque y robar credenciales, etc. Ese era el método preferido, ya que funcionaba bien para los teléfonos más antiguos, así como para una gama más amplia de teléfonos en general. Y casi todos los principales marcos de ataque, incluidos Cerberus, Hook e Hydra, operan utilizando este enfoque clásico.

El reciente troyano GoldDigger apunta a un cambio en los servicios de accesibilidad siendo SISTEMÁTICAMENTE abusados para utilizar superposiciones e inyectar key strokers para robar credenciales y activar la transferencia de fondos al atacante abusando del Sistema de Transferencia Automatizada (ATS).

El sinuoso camino de GoldDigger

El troyano, que se cree que está activo desde junio de este año, utiliza estas herramientas del atacante (además de solicitar acceso a servicios de accesibilidad) para intentar robar fondos a través de más de 50 aplicaciones móviles:

  • Los correos electrónicos de suplantación de identidad suelen ser el primer paso, ya que intentan llevar a los usuarios a sitios web para descargar e instalar las aplicaciones que sirven de gotero para el ataque. 
  • Los sitios web para descargar la aplicación gotero llegan incluso a falsificar la propia página de Google Play Store o parecen aplicaciones legítimas del gobierno o de compañías energéticas.
  • Una vez que el usuario ha descargado e instalado la aplicación dropper de aspecto legítimo, se le engaña para que conceda a esta aplicación permisos suficientes para permitir una amplia gama de control sobre el malware en el teléfono del usuario.  
  • El siguiente paso es robar las credenciales de las aplicaciones bancarias y abusar de los servicios de accesibilidad.
  • Incluso se capturan mensajes de texto y se envían a un servidor de C&C para eludir la autenticación multifactor, por ejemplo. El control remoto sobre el dispositivo permite abusar de las apps bancarias.
  • El uso de la herramienta legítima de ofuscación Virbox Protector dificulta la detección y el análisis del malware.
  • El malware también se ofrece en español y chino, lo que indica planes para una posible expansión a otras regiones.


A principios de este mes, también se informó que GoldDigger está atacando monederos electrónicos y criptocarteras, además de aplicaciones móviles bancarias más tradicionales, lo que aumenta aún más sus posibilidades de asaltar cuentas con éxito.