Usuarios de Android han sido apuntados una vez más por autores de malware luego de que se descubriera en la tienda de Google Play la presencia de 29 sigilosos troyanos bancarios para móviles disfrazados de apps para distintos usos.
Los creadores de malware continúan poniendo a prueba la atención de los usuarios de Android al infiltrar de manera camuflada troyanos bancarios para móviles dentro de la tienda Google Play. Recientemente, analizamos un conjunto de 29 sigilosos troyanos de este tipo que fueron descubiertos en la tienda oficial de Android entre agosto y principios de octubre de 2018; disfrazados como complementos para el dispositivo y limpiadores, administradores de batería y hasta apps de horóscopo.
A diferencia de la creciente prevalencia de apps maliciosas que se enfocan solamente en intentar suplantar la identidad de instituciones financieras legítimas y mostrar pantallas con falsas instancias de registro, las apps analizadas en esta oportunidad pertenecen a la categoría de sofisticado malware bancario para móviles con complejas funcionalidades y un fuerte enfoque en la sigilosidad.
Estos troyanos controlados de forma remota son capaces de afectar de manera dinámica cualquier aplicación que encuentren en el dispositivo de la víctima mediante formularios de phishing personalizados. Aparte de esto, pueden interceptar y redirigir mensajes de texto para evadir sistemas de doble factor de autenticación con base en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en los dispositivos comprometidos. Estas apps maliciosas fueron subidas en su mayoría bajo el nombre de diferentes desarrolladores, pero las similitudes en el código y un mismo servidor C&C sugieren que estas apps son obra de un solo atacante o grupo.
Figura 1 – Ejemplos de los troyanos bancarios descubiertos en Google Play.
Las 29 aplicaciones maliciosas han sido removidas de la tienda oficial de Android luego de que los investigadores de ESET notificaran a Google de su naturaleza maligna. Igualmente, antes de ser eliminadas de la tienda, las apps llegaron a ser instaladas por aproximadamente 30.000 usuarios en total.
¿Cómo operaban estos troyanos bancarios?
Una vez ejecutadas, las apps pueden o bien mostrar un mensaje de error en el que afirman que han sido removidas debido a una incompatibilidad con el dispositivo de la víctima y luego proceden a esconderse de la vista del usuario, o la otra posibilidad es que ofrezcan la función que prometían (como mostrar el horóscopo).
Figura 2 – Un falso mensaje de error se despliega por uno de estos troyanos luego de ser ejecutados.
Independientemente de cuál de las actividades antes mencionadas despliega cada una de estas apps, la principal función maliciosa está escondida en un payload cifrado ubicado en los assets de cada app. Este payload es codificado en base64 y luego cifrados con un cifrado RC4 utilizando una llave hardcodeada. La primera fase de la actividad del malware es un dropper que inicialmente corrobora si existe la presencia de un emulador o de un sandbox. Si estos chequeos fallan, entonces descifra y libera un loader junto con un payload que contiene el actual malware bancario. Algunas de las apps que analizamos contienen más de una etapa de tales payloads cifrados.
Figura 3 – Funcionalidad para detectar un emulador de Android.
La funcionalidad del payload final es la de suplantar apps bancarias instaladas en el dispositivo de la víctima, interceptar y enviar mensajes SMS, y descargar e instalar aplicaciones adicionales elegidas por el operador. La funcionalidad más significativa es que de manera dinámica el malware puede suplantar la identidad de cualquier aplicación instalada en el dispositivo de la víctima. Esto lo consigue mediante la obtención del código HTML de estas apps instaladas en el dispositivo y utilizando ese código para superponerse a la aplicación legítima con falsos formularios una vez que la app legítima es ejecutada, dándole a la víctima muy pocas chances de notar que hay algo sospechoso.
Cómo estar protegido de este tipo de malware
Afortunadamente, este particular troyano bancario (la lista completa puede encontrarse en la sección IoCs) no emplea trucos avanzados para asegurar su persistencia en los dispositivos afectados. Por lo tanto, si sospechas que has instalado cualquiera de estas apps, puedes simplemente desinstalarlas ingresando en la sección Ajustes > Administración de aplicaciones / Apps.
También recomendamos revisar la cuenta bancaria ante posibles transacciones sospechosas y considerar modificar la contraseña del sistema de banca online o el código PIN.
Para evitar ser víctima de este malware bancario recomendamos:
- Solo descargar apps de Google Play. Si bien esto no asegura que la app no es maliciosa, este comportamiento maligno es más común en tiendas de terceras partes, donde difícilmente se eliminen por más que sean descubiertas; a diferencia de lo que pasa en Google Play que se eliminan rápidamente cuando son reportadas.
- Asegúrate de revisar el número de descargas, la valoración y los comentarios existentes sobre la app antes de descargarla de Google Play.
- Presta atención de cuáles son los permisos que otorgas a las apps que instalas.
- Mantén tu dispositivo Android actualizado y utiliza una solución de seguridad para móviles que sea confiable. Los productos de ESET detectan y bloquean esta amenaza como Android/TrojanDropper.Agent.CIQ.
Un especial agradecimiento para Nikolaos Chrysaidos alertarnos de la existencia de algunas de estas apps maliciosas.
Indicadores de Compromiso (IoCs)
| App name | Package name | Hash | Installs |
|---|---|---|---|
| Power Manager | com.puredevlab.powermanager | 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 | 10+ |
| Astro Plus | com.astro.plus | 24D2ED751A33BD965A01FA87D7A187D14D0B0849 | 0+ |
| Master Cleaner - CPU Booster | bnb.massclean.boost | 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 | 5,000+ |
| Master Clean - Power Booster | mc.boostpower.lf | E5DC8D4664167D61E5B4D83597965253A8B4CB3B | 100+ |
| Super Boost Cleaner | cpu.cleanpti.clo | 33D59A70363857A0CE6857D201B764EF3E8194DD | 500+ |
| Super Fast Cleaner | super.dupclean.com | E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 | 500+ |
| Daily Horoscope For All Zodiac Signs | ui.astrohoro.t2018 | C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA | 100 + |
| Daily Horoscope Free - Horoscope Compatibility | com.horochart.uk | CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 | 500+ |
| Phone Booster - Clean Master | ghl.phoneboost.com | 9834B40401D76473D496E73884947D8A9F1920B3 | 1,000+ |
| Speed Cleaner - CPU Cooler | speeeed.cool.fh | 7626646C5C6D2C94B9D541BD5A0F320421903277 | 100+ |
| Ultra Phone Booster | ult.boostphone.pb | 6156081484663085B4FC5DEAEBF7DA079DD655C3 | 1,000+ |
| Free Daily Horoscope 2019 | fr.dayy.horos | 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B | 50+ |
| Free Daily Horoscope Plus - Astrology Online | com.dailyhoroscope.free | c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 | 1,000+ |
| Phone Power Booster | pwr.boost.pro | FCB8E568145AF2B6D8D29C0484417E51DD25717F | 1,000+ |
| Ultra Cleaner - Power Boost | ua.cleanpower.boost | CB37C8C44750874BA61F6F95E7A7C29073CB51DC | 50+ |
| Master Cleaner - CPU Booster | bnm.massclean.boost | 63E1C18D87F41ABF9956FC035D29D3C2890453EE | 5,000+ |
| Daily Horoscope - Astrological Forecast | gmd.horobest.ty | 90f41c64b3ab3f3b43e9d14b52f13143afb643da | 1,000+ |
| Speed Cleaner – CPU Cooler | speeeed.cool.gh | 56be07b21c9992a45c3b44b2e8a26b928e8238e2 | 0+ |
| Horoscope 2018 | com.horo2018i.up | c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 | 1,000+ |
| Meu Horóscopo | my.horoscop.br | 92808ca526f8e655d8fa8716ab476be4041cd505 | 1,000+ |
| Master Clean - Power Booster | mc.boostpower.cf | ab88a93b0e919e5e07cf867f4165f78aa77dc403 | 50+ |
| Boost Your Phone | boost.your.phone | 5577c9131f026d549a38e3ce48c04a323475927e | 1,000+ |
| Phone Cleaner - Booster, Optimizer | phone.boost.glh | 988AB351549FEB2C1C664A29B021E98E3695A18A | 1,000+ |
| Clean Master Pro Booster 2018 | pro.cleanermaster.iz | b9d32241d169dfd4ca5674dffa357796b200bc2f | 10+ |
| Clean Master - Booster Pro | bl.masterbooster.pro | bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 | 5,000+ |
| BoostFX. Android cleaner | fx.acleaner.e2018 | 99bff493d201d42534eec9996fd0819a | 50+ |
| Daily Horoscope | day.horocom.ww | 971a0cf208f99c259966b20aa10380c1 | 1,000+ |
| Daily Horoscope | com.dayhoroscope.en | 25e95b32832a491108835b382c4f14aa | 1,000+ |
| Personal Horoscope | horo.glue.zodnow | 0dcaf426bbc3b484aa4004f5c8e48a19 | 1,000+ |
Discusión