Troyano bancario para Android pretende ser Flash Player y evade doble autenticación
Los usuarios activos de aplicaciones de banca móvil deben saber que hay una nueva campaña de malware dirigida a clientes de los bancos más importantes en Australia, Nueva Zelanda y Turquía. El troyano bancario para Android, detectado por los productos de seguridad de ESET como Android/Spy.Agent.SI, roba las credenciales de inicio de sesión de 20 aplicaciones de banca móvil.
La lista de bancos afectados incluye los más importantes de estos tres países objetivo (en la sección final del artículo se detalla la lista de bancos completa). Gracias a su capacidad de interceptar las comunicaciones SMS, el malware también es capaz de eludir la autenticación en dos fases basada en SMS.
El malware se hace pasar por Flash Player, y su ícono tiene un aspecto legítimo.
Estaba alojado en varios servidores (y lo sigue estando). Los servidores se registraron a fines de enero y en febrero de 2016. Cabe notar que las rutas URL a los archivos APK maliciosos se regeneran a cada hora, quizá para evitar ser detectadas por software antivirus.
Después de descargar e instalar la aplicación móvil, le solicita al usuario que le conceda derechos de administrador de dispositivos. Este mecanismo de autodefensa evita que se pueda desinstalar el malware desde el dispositivo. Aunque el ícono de Flash Player queda oculto a la vista del usuario, permanece activo en segundo plano.
A continuación, se comunica con un servidor remoto. La comunicación entre el cliente y el servidor se codifica en formato Base64. Primero, el malware envía información sobre el dispositivo, como el modelo, el número IMEI, el idioma, la versión del SDK e información que indica si el administrador de dispositivos está activado. Esta información se envía al servidor cada 25 segundos.
Luego reúne los nombres de los paquetes de las aplicaciones instaladas (incluyendo las aplicaciones de banca móvil) y los envía al servidor remoto. Si alguna de las aplicaciones instaladas resulta ser uno de los objetivos del malware, el servidor envía una lista completa de 49 aplicaciones móviles objetivo, aunque no las ataque directamente a todas.
El malware se manifiesta superponiéndose a otra aplicación, es decir, aparece sobre la aplicación de banca activa: esta actividad de phishing se comporta como una pantalla de bloqueo, que solo se quita cuando el usuario ingresa sus credenciales de inicio de sesión. El malware no verifica la veracidad de los datos introducidos, en cambio, los envía a un servidor remoto, momento en el cual se cierra la pantalla maliciosa superpuesta. El malware no se centra únicamente en aplicaciones de banca móvil, sino que también intenta obtener credenciales de la cuenta de Google.
Las primeras versiones eran simples, y su propósito malicioso se identificaba fácilmente. Las versiones posteriores ya presentan mejores tácticas de ofuscación y cifrado.
Contenido completo en fuente original We Live Security
La lista de bancos afectados incluye los más importantes de estos tres países objetivo (en la sección final del artículo se detalla la lista de bancos completa). Gracias a su capacidad de interceptar las comunicaciones SMS, el malware también es capaz de eludir la autenticación en dos fases basada en SMS.
El malware se hace pasar por Flash Player, y su ícono tiene un aspecto legítimo.Estaba alojado en varios servidores (y lo sigue estando). Los servidores se registraron a fines de enero y en febrero de 2016. Cabe notar que las rutas URL a los archivos APK maliciosos se regeneran a cada hora, quizá para evitar ser detectadas por software antivirus.
Después de descargar e instalar la aplicación móvil, le solicita al usuario que le conceda derechos de administrador de dispositivos. Este mecanismo de autodefensa evita que se pueda desinstalar el malware desde el dispositivo. Aunque el ícono de Flash Player queda oculto a la vista del usuario, permanece activo en segundo plano.
A continuación, se comunica con un servidor remoto. La comunicación entre el cliente y el servidor se codifica en formato Base64. Primero, el malware envía información sobre el dispositivo, como el modelo, el número IMEI, el idioma, la versión del SDK e información que indica si el administrador de dispositivos está activado. Esta información se envía al servidor cada 25 segundos.
Luego reúne los nombres de los paquetes de las aplicaciones instaladas (incluyendo las aplicaciones de banca móvil) y los envía al servidor remoto. Si alguna de las aplicaciones instaladas resulta ser uno de los objetivos del malware, el servidor envía una lista completa de 49 aplicaciones móviles objetivo, aunque no las ataque directamente a todas.
El malware se manifiesta superponiéndose a otra aplicación, es decir, aparece sobre la aplicación de banca activa: esta actividad de phishing se comporta como una pantalla de bloqueo, que solo se quita cuando el usuario ingresa sus credenciales de inicio de sesión. El malware no verifica la veracidad de los datos introducidos, en cambio, los envía a un servidor remoto, momento en el cual se cierra la pantalla maliciosa superpuesta. El malware no se centra únicamente en aplicaciones de banca móvil, sino que también intenta obtener credenciales de la cuenta de Google.
Las primeras versiones eran simples, y su propósito malicioso se identificaba fácilmente. Las versiones posteriores ya presentan mejores tácticas de ofuscación y cifrado.
Contenido completo en fuente original We Live Security
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!