El nuevo malware bancario de Android se disfraza de aplicación criptográfica para propagarse

Un nuevo troyano bancario denominado “Malibot” pretende ser una aplicación de criptominería para propagarse entre teléfonos Android. Si bien ahora solo está activo en España e Italia, podría comenzar a apuntar a los estadounidenses.

concepto de virus informático en Internet, troyano combinado con programa de codificación
Imagen: Jackie Niam/Adobe Stock

Al rastrear el malware de banca móvil FluBotlos investigadores de F5 Labs descubrió la nueva amenaza Malibot dirigido a teléfonos Android. Malibot tiene una serie de características y capacidades que lo convierten en una amenaza importante a considerar.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

¿Cómo se distribuye Malibot?

Actualmente, los ciberdelincuentes distribuyen Malibot a través de dos canales diferentes.

El primer método de distribución es a través de la web: los estafadores han creado dos sitios web diferentes, llamados “Mining X” y “TheCryptoApp” (Figura A y Figura B).

Figura A

El sitio web de CryptoApp creado por los ciberdelincuentes para propagar Malibot.

Figura B

El sitio web MiningX creado por los ciberdelincuentes para propagar Malibot.

La campaña CryptoApp se hace pasar por una aplicación legítima de seguimiento de criptomonedas. El usuario solo se infectará y se le proporcionará el enlace del malware si navega desde un teléfono Android. Navegar desde cualquier otro dispositivo dará como resultado que el usuario reciba un enlace legítimo para la aplicación TheCryptoApp real en Google Play Store. Se proporciona un enlace de descarga directa a los usuarios de Android fuera de Google Play Store.

En cuanto a la campaña de distribución Mining X, al hacer clic en el enlace de descarga del sitio web, se abre una ventana que contiene un código QR para descargar la aplicación.

El segundo canal de distribución es a través de smishing, que llega directamente a los teléfonos Android: Malibot tiene la capacidad de enviar mensajes SMS a pedido y, una vez que recibe dicho comando, envía mensajes de texto en una lista de teléfonos proporcionada por el servidor de comando y control de Malibot.

¿Qué datos roba Malibot?

Malibot está diseñado para robar información como datos personales, credenciales y conocimientos financieros. Para lograr este objetivo, puede robar cookies, credenciales de autenticación de múltiples factores y billeteras criptográficas.

cuentas de Google

Malibot tiene un mecanismo para recopilar las credenciales de la cuenta de Google. Cuando la víctima abre una aplicación de Google, el malware abre una WebView en una página de inicio de sesión de Google, lo que obliga al usuario a iniciar sesión y no le permite hacer clic en ningún botón Atrás.

Además de recopilar las credenciales de la cuenta de Google, Malibot también puede eludir la 2FA de Google. Cuando el usuario intenta conectarse a su cuenta de Google, se le muestra una pantalla de aviso de Google que el malware valida inmediatamente. El código 2FA se envía al atacante en lugar del usuario legítimo, luego el malware lo recupera para validar la autenticación.

Múltiples inyecciones para servicios en línea seleccionados

El malware también proporciona la lista de aplicaciones de dispositivos infectados al atacante, lo que ayuda al atacante a saber qué aplicación puede enganchar el malware para mostrar una inyección en su lugar. Una inyección es una página que se muestra al usuario que se hace pasar perfectamente por una legítima (Figura C).

Figura C

Imagen: Laboratorios F5. Inyectar para la empresa bancaria italiana Unicredit mostrada por el malware.

Según F5 Labs, el Malibot inyecta a instituciones financieras objetivo en España e Italia.

Autenticación multifactor

Además del método utilizado para robar cuentas de Google, Malibot también puede robar códigos de autenticación de múltiples factores de Google Authenticator a pedido. Los códigos MFA enviados por SMS al teléfono móvil son interceptados por el malware y exfiltrados.

billeteras criptográficas

Malibot puede robar datos de las billeteras de criptomonedas Binance y Trust.

El malware intenta obtener el saldo total de las billeteras de las víctimas tanto para Binance como para Trust y exportarlo al servidor C2.

En cuanto a la billetera Trust, Malibot también puede recopilar las frases iniciales para la víctima, lo que le permite al atacante transferir más tarde todo el dinero a otra billetera de su elección.

Fraude de SMS

Malibot puede enviar mensajes SMS bajo demanda. Si bien utiliza principalmente esta capacidad para propagarse a través de smishing, también puede enviar SMS Premium que facturan los créditos móviles de la víctima, si está habilitado.

¿Cómo obtiene Malibot el control del dispositivo infectado?

Malibot hace un uso intensivo de la API de accesibilidad de Android, que permite que las aplicaciones móviles realicen acciones en nombre del usuario. Usando esto, el software malicioso puede robar información y mantener la persistencia. Más específicamente, se protege contra la desinstalación y la eliminación de permisos mirando un texto o etiquetas específicas en la pantalla y presionando el botón Atrás para evitar la acción.

Malibot: Una amenaza muy activa

Los desarrolladores de Malibot quieren que no se detecte y mantenga la persistencia el mayor tiempo posible en los dispositivos infectados. Para evitar que el sistema operativo lo elimine o lo ponga en pausa en caso de inactividad, el malware se configura como un lanzador. Cada vez que se comprueba su actividad, inicia o despierta el servicio.

Algunas protecciones adicionales están contenidas en el malware, pero no se usan. Los investigadores de F5 encontraron una función para detectar si el malware se ejecuta en un entorno simulado. Otra función no utilizada configura el malware como una aplicación oculta.

Más objetivos de Malibot por venir, EE. UU. ya puede ser alcanzado

Si bien la investigación de F5 Labs reveló objetivos en España e Italia, también encontraron actividad en curso que podría insinuar que los ciberdelincuentes apuntan a ciudadanos estadounidenses.

Un dominio utilizado por el mismo actor de amenazas se hace pasar por los servicios de impuestos estadounidenses y conduce a un sitio web de “Trust NFT” (Figura D) ofreciendo descargar el malware.

Figura D

Nuevo sitio web del actor de amenazas que se hace pasar por la agencia tributaria de EE. UU. en el nombre de dominio, no expuesto para proteger al lector.

Otro sitio web que usa el tema COVID-19 en su nombre de dominio conduce al mismo contenido. Los investigadores esperan que los atacantes implementen más malware a través de estos nuevos sitios web en otras partes del mundo, incluidos los EE. UU.

Cómo protegerse de Malibot

El malware se distribuye solo desde sitios web creados por los ciberdelincuentes y SMS. Actualmente no se distribuye a través de ninguna plataforma legítima de Android, como Google Play Store.

Nunca instales en un dispositivo Android ninguna aplicación que sea directamente descargable con un clic. Los usuarios solo deben instalar aplicaciones de tiendas y plataformas de aplicaciones confiables y legítimas. Los usuarios nunca deben instalar aplicaciones desde un enlace que reciben por SMS.

Instale aplicaciones de seguridad integrales en el dispositivo Android para protegerlo de amenazas conocidas.

Al instalar una aplicación, los permisos deben verificarse cuidadosamente. El malware Malibot para permisos de envío de SMS cuando se inicia por primera vez, lo que debería generar sospechas.

Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

Leave a Reply

Your email address will not be published.