El malware de Android distribuido en México usa Covid-19 para robar credenciales financieras


Escrito por Fernando Ruiz

El equipo de investigación de malware móvil de McAfee ha identificado malware dirigido a México. Se hace pasar por una herramienta bancaria de seguridad o como una aplicación bancaria diseñada para informar de un cajero automático fuera de servicio. En ambos casos, el malware se basa en el sentido de urgencia creado por las herramientas diseñadas para prevenir el fraude y alentar a los objetivos a usarlas. Este malware puede robar factores de autenticación cruciales para acceder a las cuentas de sus víctimas en las instituciones financieras objetivo en México.

McAfee Mobile Security identifica esta amenaza como Android / Banker.BT junto con sus variantes.

¿Cómo se propaga este malware?

El malware se distribuye a través de una página de phishing maliciosa que proporciona consejos reales de seguridad bancaria (copiados del sitio original del banco) y recomienda descargar las aplicaciones maliciosas como herramienta de seguridad o como una aplicación para informar sobre cajeros automáticos fuera de servicio. Es muy probable que una campaña de smishing esté asociada con esta amenaza como parte del método de distribución o también es posible que las víctimas sean contactadas directamente por llamadas telefónicas fraudulentas realizadas por los delincuentes, algo común en América Latina. Afortunadamente, esta amenaza aún no se ha identificado en Google Play.

He aquí cómo protegerse

Durante la pandemia, los bancos adoptaron nuevas formas de interactuar con sus clientes. Estos rápidos cambios significaron que los clientes estaban más dispuestos a aceptar nuevos procedimientos e instalar nuevas aplicaciones como parte de la ‘nueva normalidad’ para interactuar de forma remota. Al ver esto, los ciberdelincuentes introdujeron nuevas estafas y ataques de phishing que parecían más creíbles que los del pasado, dejando a los clientes más susceptibles.

Afortunadamente, McAfee Mobile Security puede detectar esta nueva amenaza como Android / Banker.BT. Para protegerse de esta y otras amenazas similares:

  • Emplee software de seguridad en sus dispositivos móviles
  • Piénselo dos veces antes de descargar e instalar aplicaciones sospechosas, especialmente si solicitan SMS o permisos de escucha de notificaciones.
  • Utilice las tiendas de aplicaciones oficiales, sin embargo, nunca confíe ciegamente en ellas, ya que también se puede distribuir malware en estas tiendas, así que verifique los permisos, lea las reseñas y busque información del desarrollador si está disponible.
  • Utilice aplicaciones de segundo factor de autenticación basadas en tokens (hardware o software) sobre la autenticación de mensajes SMS

Interesado en los detalles? Aquí hay un análisis profundo de este malware.

Figura 1- Sitio de distribución de malware de phishing que ofrece consejos de seguridad
Figura 1- Sitio de distribución de malware de phishing que ofrece consejos de seguridad

Comportamiento: Guiar cuidadosamente a la víctima para que proporcione sus credenciales.

Una vez que la aplicación maliciosa está instalada e iniciada, la primera actividad muestra un mensaje en español que explica el propósito falso de la aplicación:

– Herramienta falsa para denunciar movimientos fraudulentos que crea una sensación de urgencia:

Figura 2- Introducción de una aplicación maliciosa que intenta atraer a los usuarios para que proporcionen sus credenciales bancarias
Figura 2- Introducción de una aplicación maliciosa que intenta atraer a los usuarios para que proporcionen sus credenciales bancarias

“El nombre del banco ha creado una herramienta que le permite bloquear cualquier movimiento sospechoso. Todas las operaciones enumeradas en la aplicación aún están pendientes. Si no puede bloquear los movimientos no reconocidos en menos de 24 horas, se cargarán automáticamente en su cuenta.

Al final del proceso de bloqueo, recibirá un mensaje SMS con los detalles de las operaciones bloqueadas «.

– En el caso de la herramienta de falla de cajeros automáticos falsos para solicitar una nueva tarjeta de crédito en el contexto de la pandemia, hay un texto similar que atrae a los usuarios a una falsa sensación de seguridad:

Figura 3- Introducción de una aplicación maliciosa de la variante de informes de cajeros automáticos que utiliza la pandemia Covid-19 como pretexto para atraer a los usuarios a que proporcionen sus credenciales bancarias
Figura 3- Introducción de la aplicación maliciosa de la variante de informes de cajeros automáticos que utiliza la pandemia de Covid-19 como pretexto para atraer a los usuarios a que proporcionen sus credenciales bancarias

“Como medida sanitaria Covid-19, se ha creado esta nueva opción. Recibirá una identificación por SMS para su informe y luego podrá solicitar su nueva tarjeta en cualquier sucursal o recibirla en su domicilio registrado de forma gratuita. ¡Alerta! Nunca solicitaremos sus datos confidenciales, como NIP o CVV ”. Esto le da credibilidad a la aplicación, ya que dice que no solicitará algunos datos confidenciales; sin embargo, solicitará credenciales de banca web.

Si las víctimas tocan «Ingresar» («acceso»), el troyano bancario solicita permisos de SMS y ejecuta la actividad para ingresar la identificación del usuario o el número de cuenta y luego la contraseña. En segundo plano, la contraseña o ‘clave’ se transmite al servidor del delincuente sin verificar si las credenciales proporcionadas son válidas o si se redirige al sitio del banco original como lo hacen muchos otros troyanos bancarios.

Figura 4- fragmento de exfiltración de contraseña ingresada por el usuario
Figura 4- fragmento de exfiltración de contraseña ingresada por el usuario

Finalmente, Se muestra una lista falsa fija de transacciones para que el usuario pueda tomar la acción de bloquearlas como parte de la estafa; sin embargo, en este punto, los delincuentes ya tienen los datos de inicio de sesión de la víctima y el acceso a los mensajes SMS de su dispositivo, por lo que pueden robar el segundo. factor de autenticación.

Figura 5- Lista falsa de transacciones fraudulentas
Figura 5- Lista falsa de transacciones fraudulentas

En el caso de la aplicación de herramienta falsa para solicitar una nueva tarjeta, la aplicación muestra un mensaje que dice al final “Hemos creado esta medida sanitaria Covid-19 y te invitamos a visitar nuestros consejos antifraude donde aprenderás a proteger tu cuenta”.

Figura 6- Vista final después de que el malware ya obtuvo credenciales bancarias reforzando el concepto de que esta aplicación es una herramienta creada bajo el contexto covid-19.
Figura 6- Vista final después de que el malware ya obtuvo credenciales bancarias reforzando el concepto de que esta aplicación es una herramienta creada bajo el contexto covid-19.

En segundo plano, el malware se pone en contacto con el comando y control servidor que está alojado en el mismo dominio utilizado para la distribución y envía las credenciales de usuario y todos los usuarios SMS mensajes a través de HTTPS como parámetros de consulta (como parte de la URL) que pueden llevar a que los datos confidenciales se almacenen en los registros del servidor web y no solo al destino final del atacante. Generalmente, malware de este tipo tiene pobre manejo de los datos robados, por lo tanto, no es sorprendente si esta información es filtrada o comprometida por otro grupos criminales lo que hace que este tipo de amenaza aún más riesgoso para las víctimas. Realmente, en la figura 8 hay una captura de pantalla parcial de una página expuesta que contiene la estructura para mostrar los datos robados.

Figura 7 - Método malicioso relacionado con la exfiltración de todos los mensajes SMS del dispositivo de la víctima.
Figura 7 – Método malicioso relacionado con la exfiltración de todos los mensajes SMS del dispositivo de la víctima.

Encabezados de tabla: Fecha, De, Mensaje del cuerpo, Usuario, Contraseña, Id:

Figura 8 - Página expuesta en el C2 que contiene una tabla para mostrar los mensajes SMS capturados de los dispositivos infectados.
Figura 8 – Página expuesta en el C2 que contiene una tabla para mostrar los mensajes SMS capturados de los dispositivos infectados.

Este banquero móvil es interesante porque es una estafa desarrollada desde cero que no está vinculada a frameworks de troyanos bancarios conocidos y más poderosos que se comercializan en el mercado negro entre ciberdelincuentes. Este es claramente un desarrollo local que puede evolucionar en el futuro en una amenaza más seria, ya que el código descompilado muestra que la clase de servicios de accesibilidad está presente pero no implementada, lo que lleva a pensar que los autores de malware están tratando de emular el comportamiento malicioso de familias de malware más maduras. . Desde la perspectiva de la autoevasión, el malware no ofrece ninguna técnica para evitar el análisis, la detección o la descompilación que sea una señal de que se encuentra en una etapa temprana de desarrollo.

IoC

SHA256:

  • 84df7daec93348f66608d6fe2ce262b7130520846da302240665b3b63b9464f9
  • b946bc9647ccc3e5cfd88ab41887e58dc40850a6907df6bb81d18ef0cb340997
  • 3f773e93991c0a4dd3b8af17f653a62f167ebad218ad962b9a4780cb99b1b7e2
  • 1deedb90ff3756996f14ddf93800cd8c41a927c36ac15fcd186f8952ffd07ee0

Dominios:

  • https[://]appmx2021.com





Enlace a la noticia original