Investigadores de ciberseguridad han descubierto un nuevo malware bancario para Android llamado MaliBot, que se hace pasar por una aplicación de minería de criptomonedas o el navegador web Chrome para dirigirse a usuarios en Italia y España.
MaliBot se enfoca en robar información financiera, como credenciales de servicios de banca electrónica, contraseñas de billeteras criptográficas y detalles personales, mientras que también es capaz de robar códigos de autenticación de dos factores de las notificaciones.
Según un informe de F5 Labs , cuyos analistas descubrieron el nuevo malware, actualmente está utilizando múltiples canales de distribución, probablemente con el objetivo de cubrir la brecha de mercado creada por el cierre repentino de la operación FluBot .
Aplicaciones criptográficas falsas
El servidor de comando y control de Malibot tiene su sede en Rusia, y su IP se ha asociado con varias campañas de distribución de malware que datan de junio de 2020.
La distribución de MaliBot se realiza a través de sitios web que promocionan aplicaciones de criptomonedas en forma de APK que las víctimas descargan e instalan manualmente.
Los sitios que envían estos archivos son clones de proyectos reales como TheCryptoApp, que tiene más de un millón de descargas en Google Play Store.
En otra campaña, el malware se promociona como una aplicación llamada Mining X, y se engaña a las víctimas para que escaneen un código QR para descargar el archivo APK malicioso.
Los operadores de MaliBot también usan mensajes de smishing (phishing SMS) para distribuir sus cargas útiles a una lista de números de teléfono determinados por el C2. Estos mensajes se envían desde dispositivos comprometidos abusando del permiso de “enviar SMS”.
Capacidades de MaliBot
MaliBot es un poderoso troyano de Android que asegura la accesibilidad y los permisos de inicio al momento de la instalación y luego se otorga a sí mismo derechos adicionales en el dispositivo.
Puede interceptar notificaciones, SMS y llamadas, capturar capturas de pantalla, registrar actividades de arranque y brindar a sus operadores capacidades de control remoto a través de un sistema VNC.
VNC permite a los operadores navegar entre pantallas, desplazarse, tomar capturas de pantalla, copiar y pegar contenido, deslizar, realizar pulsaciones prolongadas y más.
Para eludir las protecciones de MFA, abusa de la API de accesibilidad para hacer clic en las solicitudes de confirmación de las alertas entrantes sobre intentos de inicio de sesión sospechosos, envía la OTP al C2 y la completa automáticamente.
Además, el malware puede robar códigos MFA de Google Authenticator y realizar esta acción a pedido, abriendo la aplicación de autenticación independientemente del usuario.
Como la mayoría de los troyanos bancarios, MaliBot recupera una lista de aplicaciones instaladas para determinar qué aplicaciones bancarias utiliza la víctima para obtener las superposiciones/inyecciones correspondientes del C2. Cuando la víctima abre la aplicación legítima, la pantalla de inicio de sesión falsa se superpone en la parte superior de la interfaz de usuario.
lo que debemos esperar
Los analistas de F5 Labs han visto características no implementadas en el código de MaliBot, como la detección de entornos emulados que podrían usarse para evadir el análisis.
Esta es una señal de que el desarrollo es muy activo y se espera que pronto entren en circulación nuevas versiones de MaliBot, posiblemente aumentando la potencia del nuevo malware.
Por ahora, MaliBot carga superposiciones dirigidas a bancos italianos y españoles, pero pronto podría ampliar su alcance agregando más inyecciones, tal como lo hizo gradualmente FluBot.
Al momento de escribir esto, los sitios web que distribuyen MaliBot permanecen en línea, por lo que la operación de distribución de malware aún está bastante activa.
Fuente: https://www.bleepingcomputer.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios