23 feb. 2016

Filtran código del troyano Mazar Bot para Android

Se ha filtrado el código fuente del recientemente descubierto troyano MazarBot para Android, el cual tiene la capacidad de obtener acceso de "root" en el smartphone y borrar completamente el almacenamiento del teléfono, entre otras funcionalidades.

Investigadores de seguridad de FireEye bautizaron a este malware como SlemBunk, Symantec lo identifica como Bankosy, y la semana pasada la empresa Heimdal lo denominó MazarBot. Esta historia viene de 2014, cuando aparecieron una serie de troyanos bancarios Android de una que IBM denominó GM Bot.

Estos troyanos surgieron en los foros del cibercrimen ruso y eran vendido para U$S500 pero parece alguien que compró el código fuente lo filtró en un foro en diciembre de 2015. El malware ya había sido analizado previamente en octubre por el CERT polaco.

¿Qué es GM Bot y por qué debemos preocuparnos?

La versión reciente de GM Bot (apodado MazarBOT) tiene la capacidad para mostrar páginas de phishing en la parte superior de las aplicaciones de banca móvil en un intento de engañar a los usuarios de Android para que entreguen sus credenciales financieras a los delincuentes.

Además de esto, el troyano es capaz de reenviar llamadas telefónicas e interceptar mensajes SMS para ayudar a los atacantes a eludir una capa adicional de mecanismos de seguridad.

Los delincuentes también pueden usar el malware para:
  • Espiar a las víctimas
  • Eliminar datos del dispositivo infectado
  • Lograr persistencia en el arranque del dispositivo
  • Enviar y leer mensajes
  • Hacer llamadas
  • Leer el estado del teléfono
  • Infectar Chrome
  • Cambiar la configuración del teléfono
  • Consultar el estado de la red
  • Accecer a Internet
  • Eliminar el almacenamiento del dispositiv
Parece que quien filtró el código fuente del malware lo hizo sólo para aumentar su reputación y ahora tanto el código fuente del Bot como su panel de control (C&C) son accesibles por los ciberdelincuentes de forma gratuita.

Además del código fuente, también se publicó un tutorial e instrucciones para la instalación del servidor. Esto permitirá que los delincuentes puedan crear sus propias versiones modificadas, que aparecerán a la brevedad.

IBM ya ha publicado algunas URL de los C&C que se han encontrado activos y los hashes del malware.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!