29 troyanos bancarios descubiertos en Google Play simulando ser apps reales

Descubrieron 29 troyanos bancarios en Google Play simulando ser apps reales

Usuarios de Android han sido apuntados una vez más por autores de malware luego de que se descubriera en la tienda de Google Play la presencia de 29 sigilosos troyanos bancarios para móviles disfrazados de apps para distintos usos.

Usuarios de Android han sido apuntados una vez más por autores de malware luego de que se descubriera en la tienda de Google Play la presencia de 29 sigilosos troyanos bancarios para móviles disfrazados de apps para distintos usos.

Los creadores de malware continúan poniendo a prueba la atención de los usuarios de Android al infiltrar de manera camuflada troyanos bancarios para móviles dentro de la tienda Google Play. Recientemente, analizamos un conjunto de 29 sigilosos troyanos de este tipo que fueron descubiertos en la tienda oficial de Android entre agosto y principios de octubre de 2018; disfrazados como complementos para el dispositivo y limpiadores, administradores de batería y hasta apps de horóscopo.

A diferencia de la creciente prevalencia de apps maliciosas que se enfocan solamente en intentar suplantar la identidad de instituciones financieras legítimas y mostrar pantallas con falsas instancias de registro, las apps analizadas en esta oportunidad pertenecen a la categoría de sofisticado malware bancario para móviles con complejas funcionalidades y un fuerte enfoque en la sigilosidad.

Estos troyanos controlados de forma remota son capaces de afectar de manera dinámica cualquier aplicación que encuentren en el dispositivo de la víctima mediante formularios de phishing personalizados. Aparte de esto, pueden interceptar y redirigir mensajes de texto para evadir sistemas de doble factor de autenticación con base en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en los dispositivos comprometidos. Estas apps maliciosas fueron subidas en su mayoría bajo el nombre de diferentes desarrolladores, pero las similitudes en el código y un mismo servidor C&C sugieren que estas apps son obra de un solo atacante o grupo.

Figura 1 – Ejemplos de los troyanos bancarios descubiertos en Google Play.

Las 29 aplicaciones maliciosas han sido removidas de la tienda oficial de Android luego de que los investigadores de ESET notificaran a Google de su naturaleza maligna. Igualmente, antes de ser eliminadas de la tienda, las apps llegaron a ser instaladas por aproximadamente 30.000 usuarios en total.

¿Cómo operaban estos troyanos bancarios?

Una vez ejecutadas, las apps pueden o bien mostrar un mensaje de error en el que afirman que han sido removidas debido a una incompatibilidad con el dispositivo de la víctima y luego proceden a esconderse de la vista del usuario, o la otra posibilidad es que ofrezcan la función que prometían (como mostrar el horóscopo).

Figura 2 – Un falso mensaje de error se despliega por uno de estos troyanos luego de ser ejecutados.

Independientemente de cuál de las actividades antes mencionadas despliega cada una de estas apps, la principal función maliciosa está escondida en un payload cifrado ubicado en los assets de cada app. Este payload es codificado en base64 y luego cifrados con un cifrado RC4 utilizando una llave hardcodeada. La primera fase de la actividad del malware es un dropper que inicialmente corrobora si existe la presencia de un emulador o de un sandbox. Si estos chequeos fallan, entonces descifra y libera un loader junto con un payload que contiene el actual malware bancario. Algunas de las apps que analizamos contienen más de una etapa de tales payloads cifrados.

Figura 3 – Funcionalidad para detectar un emulador de Android.

La funcionalidad del payload final es la de suplantar apps bancarias instaladas en el dispositivo de la víctima, interceptar y enviar mensajes SMS, y descargar e instalar aplicaciones adicionales elegidas por el operador. La funcionalidad más significativa es que de manera dinámica el malware puede suplantar la identidad de cualquier aplicación instalada en el dispositivo de la víctima. Esto lo consigue mediante la obtención del código HTML de estas apps instaladas en el dispositivo y utilizando ese código para superponerse a la aplicación legítima con falsos formularios una vez que la app legítima es ejecutada, dándole a la víctima muy pocas chances de notar que hay algo sospechoso.

Cómo estar protegido de este tipo de malware

Afortunadamente, este particular troyano bancario (la lista completa puede encontrarse en la sección IoCs) no emplea trucos avanzados para asegurar su persistencia en los dispositivos afectados. Por lo tanto, si sospechas que has instalado cualquiera de estas apps, puedes simplemente desinstalarlas ingresando en la sección Ajustes > Administración de aplicaciones / Apps.

También recomendamos revisar la cuenta bancaria ante posibles transacciones sospechosas y considerar modificar la contraseña del sistema de banca online o el código PIN.

Para evitar ser víctima de este malware bancario recomendamos:

  • Solo descargar apps de Google Play. Si bien esto no asegura que la app no es maliciosa, este comportamiento maligno es más común en tiendas de terceras partes, donde difícilmente se eliminen por más que sean descubiertas; a diferencia de lo que pasa en Google Play que se eliminan rápidamente cuando son reportadas.
  • Asegúrate de revisar el número de descargas, la valoración y los comentarios existentes sobre la app antes de descargarla de Google Play.
  • Presta atención de cuáles son los permisos que otorgas a las apps que instalas.
  • Mantén tu dispositivo Android actualizado y utiliza una solución de seguridad para móviles que sea confiable. Los productos de ESET detectan y bloquean esta amenaza como Android/TrojanDropper.Agent.CIQ.

Un especial agradecimiento para Nikolaos Chrysaidos alertarnos de la existencia de algunas de estas apps maliciosas.

Indicadores de Compromiso (IoCs)

App namePackage nameHashInstalls
Power Managercom.puredevlab.powermanager7C13ADEFC2CABD85AD8F486C3CBDB6379811A09710+
Astro Plus com.astro.plus24D2ED751A33BD965A01FA87D7A187D14D0B08490+
Master Cleaner - CPU Booster bnb.massclean.boost101DA4333A26BC6D9DFEF6605E5D8D10206C0EB45,000+
Master Clean - Power Booster mc.boostpower.lfE5DC8D4664167D61E5B4D83597965253A8B4CB3B100+
Super Boost Cleaner cpu.cleanpti.clo33D59A70363857A0CE6857D201B764EF3E8194DD500+
Super Fast Cleanersuper.dupclean.comE125AC53050CAFA5A930B210C8168EA9ED0FD6F1500+
Daily Horoscope For All Zodiac Signs ui.astrohoro.t2018C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA100 +
Daily Horoscope Free - Horoscope Compatibility com.horochart.ukCD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25500+
Phone Booster - Clean Master ghl.phoneboost.com9834B40401D76473D496E73884947D8A9F1920B31,000+
Speed Cleaner - CPU Cooler speeeed.cool.fh7626646C5C6D2C94B9D541BD5A0F320421903277100+
Ultra Phone Booster ult.boostphone.pb 6156081484663085B4FC5DEAEBF7DA079DD655C31,000+
Free Daily Horoscope 2019 fr.dayy.horos 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B50+
Free Daily Horoscope Plus - Astrology Online com.dailyhoroscope.freec0be22c44e5540322e0ffbf3a6fe18ce0968d3b51,000+
Phone Power Booster pwr.boost.proFCB8E568145AF2B6D8D29C0484417E51DD25717F1,000+
Ultra Cleaner - Power Boost ua.cleanpower.boostCB37C8C44750874BA61F6F95E7A7C29073CB51DC50+
Master Cleaner - CPU Booster bnm.massclean.boost 63E1C18D87F41ABF9956FC035D29D3C2890453EE5,000+
Daily Horoscope - Astrological Forecast gmd.horobest.ty90f41c64b3ab3f3b43e9d14b52f13143afb643da1,000+
Speed Cleaner – CPU Cooler speeeed.cool.gh56be07b21c9992a45c3b44b2e8a26b928e8238e20+
Horoscope 2018 com.horo2018i.upc8dc0e94f38556cd83ca6a693fa5b6d7ae3957f71,000+
Meu Horóscopo my.horoscop.br92808ca526f8e655d8fa8716ab476be4041cd5051,000+
Master Clean - Power Booster mc.boostpower.cfab88a93b0e919e5e07cf867f4165f78aa77dc40350+
Boost Your Phone boost.your.phone5577c9131f026d549a38e3ce48c04a323475927e1,000+
Phone Cleaner - Booster, Optimizer phone.boost.glh 988AB351549FEB2C1C664A29B021E98E3695A18A1,000+
Clean Master Pro Booster 2018 pro.cleanermaster.izb9d32241d169dfd4ca5674dffa357796b200bc2f10+
Clean Master - Booster Pro bl.masterbooster.pro bcb9ef41fea8878eb10f4189dd55bfe1d03a64b35,000+
BoostFX. Android cleaner fx.acleaner.e2018 99bff493d201d42534eec9996fd0819a50+
Daily Horoscope day.horocom.ww 971a0cf208f99c259966b20aa10380c11,000+
Daily Horoscope com.dayhoroscope.en25e95b32832a491108835b382c4f14aa1,000+
Personal Horoscope horo.glue.zodnow 0dcaf426bbc3b484aa4004f5c8e48a191,000+

Discusión