Nueva versión del troyano bancario ‘Marcher’ para Android

Una nueva versión del troyano bancario ‘Marcher’ ha sido detectada recientemente en Koodous, nuestro antivirus colaborativo

‘Marcher’ es un troyano bancario destinado, principalmente, a robar datos bancarios, incluyendo datos de tarjetas de créditos y credenciales de acceso al sistema bancario. Para llevar a cabo el robo de datos, este malware actúa de forma similar a otras familias de malware para Android, comprobando en segundo plano las aplicaciones activas en cada momento. Si se abre una aplicación bancaria o cualquier otra aplicación afectada, el troyano muestra una ventana falsa con la imagen del banco afectado y solicitando los datos de acceso, simulando a la aplicación real para engañar al usuario y obtener las credenciales.

El equipo de análisis de malware de Hispasec ha analizado la nueva muestra, y como resultado del análisis podemos apreciar que esta nueva versión del malware introduce algunos cambios con respecto a versiones anteriores del mismo.

En primer lugar, la aplicación conecta al servidor de control a través del protocolo HTTP. Realiza una petición a las URLs hxxp://aperdosali.top/get_key y hxxp://aperdosali.top/get_file, para descargar un fichero cifrado y la clave de descifrado. Dicho fichero es un fichero APK, es decir, una nueva aplicación. Pero esta no se instalará en el dispositivo, sino que se utilizará para cargar dinámicamente el código malicioso que se encarga de mostrar y ocultar las inyecciones (ventanas falsas para robar los credenciales).

Una vez descargado el código del inyector, la aplicación envía información sobre el dispositivo (imei, número de teléfono, aplicaciones instaladas, etc.).

Captura de pantalla de 2018-12-08 03-29-31 — Envío de información del dispositivo cifrada

Captura de pantalla de 2018-12-08 02-00-28 — Información del dispositivo que se envía

Como podemos apreciar en la imágenes, todo el envío de información al servidor de control se hace cifrando la información e indicando el identificador del ‘bot’ (dispositivo infectado).

También te puede interesar: Sharpshooter: Campaña de ciberataques contra infraestructura crítica en E.U. y América Latina

Esta versión de ‘Marcher’ incluye la lista de bancos y aplicaciones afectadas cifrada, por lo que no es posible acceder a ella directamente. La lista de aplicaciones afectadas y el resto de la configuración del troyano se encuentran entre los ‘assets’ de la aplicación cifrados con algoritmo DES y usando la clave 6b34f4f6.

Captura de pantalla de 2018-12-08 03-44-12 — Parte de la lista de aplicaciones afectadas

Además de la posibilidad de mostrar una ventana falsa con una versión web para el robo de credenciales, esta versión incluye inyectores nativos específicos. Para estos inyectores, se realiza una petición a la URL hxxp://aperdosali.top/inj_pkg/BASE64_PACKAGE_ID , donde BASE64_PACKAGE_ID es el identificador del paquete codificado en Base64. Como respuesta, el servidor devuelve un fichero ZIP que contiene los datos necesarios para mostrar la ventana falsa (logos de la entidad afectada y texto en el idioma que corresponda).

Captura de pantalla de 2018-12-08 03-56-38 — Datos descargados para la inyección de Eurobank

Y una vez descargados los datos necesarios para realizar la inyección, la aplicación espera a que el usuario abra la aplicación afectada para mostrar la ventana falsa.

Captura de pantalla de 2018-12-08 01-30-17 — Ventana falsa para la aplicación de Eurobank

Una vez que el usuario rellena los datos y los envía, la aplicación oculta la ventana falsa y muestra la aplicación legítima mientras envía los datos al servidor de control a través de la URL hxxp://aperdosali.top/api/form. En el caso de las inyecciones que solicitan datos de tarjetas de credito, estos se envían al servidor de control a través de la URL hxxp://aperdosali.top/api/cards.

La muestra analizada afecta a aplicaciones de entidades bancarias Europeas (Austria, Alemania, Francia, Polonia, Turquía), de Estados Unidos, China, Singapure y Taiwan.

Como siempre, desde Hispasec recomendamos instalar aplicaciones de plataformas reconocidas como Google Play y nunca de lugares desconocidos. Y aunque se descarguen de plataformas reconocidas, siempre deben tener cuidado porque incluso en estas plataformas podemos encontrar de vez en cuando alguna aplicación maliciosa, como ya se hemos visto en otras ocasiones.

IoCs: C2
aperdosali.top
comedirtad.top
47.74.70.68
SHA256 de la muestra
2f748905818f8385f3d43212a60f9ee113d59b6b7bf3fd195a2c790ccca92a07
SHA256 del Inyector
a203d33154941f03ed43f9ff3688dba176554cf157aed2b9a65eef176720aaa3

Fuente: https://unaaldia.hispasec.com/

No olvides seguirnos en twitter: @disoftin

Nueva versión del troyano bancario ‘Marcher’ para Android

Publicado por fredyavila2

Publicar un comentario

0 Comentarios

Visitas al sitio

Más popular

Dorks de carding para inyección SQL

Crear un KEYLOGGER JAVASCRIPT basado en la web

Listado de comandos de GNU/Linux

Herramientas gratuitas de hacking para correo electrónico

Kali Linux 2018.4: la suite de hacking ético se actualiza y llega al Raspberry Pi 3

Random Posts

YouTube

Contribuir al blog

Archivo

Tags

Menu Footer Widget

Contact form

Nueva versión del troyano bancario ‘Marcher’ para Android

Publicado por fredyavila2

Entradas que pueden interesarte

Publicar un comentario

0 Comentarios

Visitas al sitio

Social Plugin

Más popular

Dorks de carding para inyección SQL

Crear un KEYLOGGER JAVASCRIPT basado en la web

Listado de comandos de GNU/Linux

Herramientas gratuitas de hacking para correo electrónico

Kali Linux 2018.4: la suite de hacking ético se actualiza y llega al Raspberry Pi 3

Random Posts

YouTube

Contribuir al blog

Archivo

Tags

Menu Footer Widget

Contact form