Un equipo de investigación detectó un nuevo tipo de virus troyano, que ha afectado a más de 400 aplicaciones de la Play Store de Android, entre las que se encuentra 95 wallets de bitcoin (BTC) y criptomonedas.

Según la empresa de ciberseguridad, Group-IB, en su investigación destacaron que este troyano se ha encontrado operativo desde marzo de 2022, cuando se detectaron las primeras vulnerabilidades. Sin embargo, al día de hoy, muchos usuarios pueden estar infectados.

El troyano denominado Godfather (El Padrino) tiene como principal objetivo el ataque a apps bancarias.

Entre sus capacidades se encuentra el generar notificaciones que redirigen a páginas webs fraudulentas, donde se le pide al usuario ingresar dantos personales, que son capturados por los servidores de los delincuentes.

Si bien esta se centra en apps bancarias, Group-IB determinó que 94 wallets de criptomonedas se vieron afectadas en 2022 por este troyano, aunque no especificó cuáles eran.

La vulnerabilidad se generó debido a que el virus tiene la capacidad de acceder servicios dentro de las aplicaciones. Si bien el troyano no es capaz de descifrar la criptografía con la que se almacenan las claves privadas, al revelar la semilla de recuperación, este puede tomar una captura de pantalla que es compartida con los hackers, esto según determinó el grupo de investigación.

Godfather está basado en un antiguo troyano conocido como Anubis, que, según Group-IB, había sido parchado de las nuevas versiones de Android, por lo que habría perdido su efectividad. Sin embargo, las actualizaciones en el código de Godfather le han permitido sobrevivir.

Group-IB ha llamado la atención de dos aplicaciones, las cuales están sirviendo como vehículo del troyano.

Una de ellas es Currency Convert Plus, una herramienta app para la conversión de divisas. La otra es una versión de Google Protect, que emula su funcionamiento como antivirus, pero que termina por instalar Godfather en los dispositivos móviles. Este último caso, se trata de aplicaciones instaladas desde fuentes de terceros, como páginas webs piratas.

En el pasado, virus similares han azotado a los usuarios de criptomonedas. En 2020 usuarios de Chile, Brasil y Colombia, se vieron afectados por el virus Mekotio. Esta vez, dirigido a computadoras personales que robaba información de wallets a través de spam e ingeniería social.

Troyano es una categoría que se da a los virus que infectan dispositivos digitales a través de otras aplicaciones aparentemente inofensivas. Estos son una analogía del Caballo de Troya de la Odisea de Homero.