El
malware para Android crece más cada día,
además se vuelve más peligroso y con un objetivo concreto: nuestro dinero.
Hemos encontrado un nuevo troyano
bancario para Android del que además hemos podido acceder al panel de la
botnet que lo controla.
Nos hemos encontrado en Koodous con una nueva muestra que parecía tener
un comportamiento sospechoso, así que el Departamento Antifraude de Hispasec ha
procedido a realizar un análisis más
detallado.
 |
| ¿A qué va a ser malware? |
Tras el análisis dinámico y estático hemos comprobado que se trata de un troyano de evidente origen ruso que
monitoriza otras aplicaciones bancarias, de pago online y similares instaladas
en el dispositivo, con el objeto de capturar
las credenciales introducidas. Hemos llamado "Mazain" a este troyano por la referencia a su
autor ("by Maza-in") en el panel de la botnet.
Rápidamente, en un primer vistazo
en Koodous ya resultan sospechosas tanto las "Actividades" como los "Servicios" que la aplicación tiene declarados en su
manifiesto:
 |
| ¿injectionActivity?¿goRoot? Con nombres así da para sospechar |
 |
| ¿injectionService? Más de lo mismo |
Con estos indicios y con ya
muchas sospechas de encontrarnos ante un nuevo malware, el siguiente paso es ejecutar
la muestra en un dispositivo móvil. Y lo primero que encontramos es que pide
permisos de administración. Otra evidencia.
 |
| ¿Permisos de Administrador? ¡Es el momento de cancelar la instalación! |
Y por si fuera poco, el icono
desaparece de las aplicaciones disponibles y al mismo tiempo realiza un par de
peticiones al C&C (Command and Control, la infraestructura mando y control):
Con todas las evidencias
reunidas, solo queda pasar a realizar un análisis estático que nos ofrezca más
información sobre este malware. Tras un primer examen del código vemos que
contiene diferentes funcionalidades.
En primer lugar descubrimos información
de la configuración del troyano, como es su punto de control, la clave con la
que va a comunicarse con el servidor y el nombre de la campaña. No se puede
decir que el desarrollador haya sido muy cuidadoso, ya que posteriormente hemos
encontrado estos mismos datos incluidos directamente en otras partes del código
("hardcodeados").
 |
| Así siempre, por favor |
También comprobamos los diferentes nombres de paquete de las aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank, Rosbank, Sberbank). El origen ruso del troyano se hace evidente.
Las intenciones son claras, inyectar
su código malicioso cuando el usuario abra alguna de ellas:
Es el momento de volver al teléfono
y probar el funcionamiento sobre una de ellas. En este caso Visa QiWi, un
proveedor ruso de servicios de pago online:
Tras introducir las credenciales
en la pantalla que nos muestra, vemos el tráfico realizado, tanto solicitando
la web que ha superpuesto como la información que hemos introducido:
Además de la función de captura
de credenciales de banca online, también hemos encontrado funciones para
recolectar los SMS enviados y recibidos. Sin duda con el propósito de acceder a
los sistemas en los que haya un doble factor de autenticación:
En una próxima entrega
analizaremos la botnet, el panel y más datos interesantes sobre este nuevo
malware.
De nuevo, las medidas recomendadas son las habituales: sentido común como
nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se
instala y una red de seguridad por si falla nuestra intuición. Nuestra
propuesta pasa por la instalación de Koodous,
un antivirus ideado por y para la comunidad.
Antonio Sánchez
Buen analisis, me quedo con las ganas de ver ese panel!! gracias :D
ResponderEliminar