Cuando
todavía muchos siguen pensando en WannCry, llega el momento de asumir que hay muchos
más malwares rondando por Internet. Esta vez queremos alertar de una variante
del troyano bancario conocido como SVPeng, que cómo no, vuelve a querer robarnos el dinero.
Hoy hemos encontrado una nueva
variante del troyano SVPeng buscando un poquito en Koodous. Esta familia comenzó
a distribuirse a mediados de julio de 2016 a través de una vulnerabilidad que
descubrieron en Chrome para Android (y ya parchearon). Básicamente el troyano
se descargaba usando la plataforma de AdSense, a través de un código JavaScript,
descargaba el APK partido en trozos y cifrado. Con esta técnica eludían que el
navegador avisara de que se estaba descargando un fichero.
Las primeras muestras que hemos
encontrado datan de primeros de marzo de este año y por el momento sólo hemos
localizado 12 ejemplares, pero el último de ellos afecta a entidades europeas. Por ello hemos considerado que merece una atención especial.
En este caso hemos comenzado el
estudio de la muestra con un breve análisis estático, lo que nos sirve para
encontrar la lista de entidades afectadas incluidas dentro del propio código,
sin ningún tipo de ofuscación, totalmente claras:
Sin embargo, este dato contrasta
enormemente con la alta ofuscación que sufre el resto de su código, por
ejemplo:
Este malware se encarga de
descifrar un nuevo archivo dex, que carga y utiliza. Los archivos dex incluyen código
de la aplicación preparado para la máquina virtual Dalvik. Por otra parte, al
igual que otros bankers también registra varios receptores para SMS en su
manifiesto. De esta forma los atacantes se garantizan el control de los SMS
recibidos, muy útiles para controlar los casos en que se emplea un doble factor
de autenticación a través de SMS.
Y como es habitual, solicita
permisos de administración:
Finalmente, utiliza un WebView
para cargar la página de phishing que se muestra remotamente:
Estos son algunos de los bancos afectados:
|
|
|---|
La muestra en cuestión se
puede observar a continuación en nuestra plataforma Koodous:
Como es habitual recordamos extremar
la precaución, especialmente en los dispositivos móviles, donde con frecuencia
tendemos a levantar nuestras defensas. El sentido común suele ser una buena
defensa, comprobar los permisos que pide la aplicación cuando se instala y por
si falla nuestra intuición disponer de algún software de seguridad. Nuestra
propuesta pasa por la instalación de Koodous, un antivirus ideado por y para
la comunidad.
Recordamos que si recibís correos
que consideréis falsos, con facturas falsas, intentos de fraude o sospechéis
que incluye malware podéis enviárnoslo a report@hispasec.com.
Antonio Sánchez
No hay comentarios:
Publicar un comentario