Analizando un Malware Bancario Biométrico: Camubot

Publicado por buguroo - 28/10/2019

Sabemos que hoy en día existe malware relacionado con todo tipo de actividades maliciosas, entre ellos podemos encontrar el malware bancario, cuyo objetivo es el robo de credenciales bancarias. Este tipo de malware está presente en casi todas las plataformas y sistemas operativos, ya sean de escritorio o móvil.

En los últimos años, en la lucha contra el malware bancario, se han desarrollado diferentes medidas de seguridad y protecciones que tratan de dificultar tanto el robo de credenciales como su posterior utilización.

Una de las medidas de seguridad más comunes son las contraseñas de un solo uso (recibidas usualmente por SMS) para autorizar tanto las transacciones realizadas como el acceso a la cuenta bancaria a través de Internet. Sin embargo, no es la única medida de seguridad que el usuario tiene a su disposición para proteger su cuenta y, en la actualidad, muchas de las medidas de seguridad están avanzado hacia el uso de datos biométricos del usuario para la autenticación y la autorización de transacciones. Se espera que en el futuro la autenticación biométrica gane popularidad y se convierta en una de las principales medidas de seguridad, al mismo tiempo que la tecnología avanza para proporcionar al usuario los medios necesarios para poder disfrutar de estas medidas.

Desde el punto de vista tecnológico se ha realizado un gran avance y, hoy en día, la mayor parte de los dispositivos móviles incluye lector de huellas dactilares, lo que permite a las aplicaciones bancarias realizar la autenticación en sus sistemas a través de esta información biométrica.

Está claro que el uso de información biométrica es el futuro en cuanto a medidas de protección para la autenticación del usuario, pero ¿están tus datos biométricos a salvo? ¿puede un malware evadir la autenticación biométrica?

 

Malware bancario diseñado para evadir autenticación biométrica

Aunque la autenticación biométrica aún es una medida joven y necesita algo más de tiempo para asentarse en el sector bancario y que pueda ser utilizada por un mayor número de entidades, la realidad es que ya se ha detectado software malicioso especialmente diseñado para evadir la autenticación basada en identificación biométrica del usuario.

De forma pública sólo se conoce un malware diseñado para evadir este tipo de autenticación, fue descubierto en septiembre de 2018 y se le conoce como ‘CamuBot’. Este troyano bancario afectó a entidades financieras en Brasil, y según los investigadores de IBM que lo detectaron, se utilizó para realizar un ataque dirigido a trabajadores de empresas y del sector público.

Para realizar la infección el atacante se hacía pasar por un empleado del banco, y proporcionaba a la víctima un enlace que, supuestamente, servía para descargar un software encargado de verificar el estado de los módulos de seguridad.

Este software se trataba en realidad del troyano ‘CamuBot’, que al ser ejecutado presentaba una ventana falsa con el logo de la entidad bancaria brasileña e indicaba al usuario que debía instalarse un módulo de seguridad.

Una vez finalizada la instalación, lo que se instala realmente es el malware, que está formado por dos componentes:

1. Un ejecutable con el código malicioso y una DLL no maliciosa que proporciona funcionalidad para conectar al servidor de control por SSH. Estos dos elementos se almacenan en el directorio temporal del sistema (%TEMP%) con los nombres ‘protecao.exe’ y ‘Renci.SshNet.dll’.

2. El software ‘USB over Network’. Este software es legítimo, y se utiliza para compartir dispositivos USB a través de la red, de forma que un ordenador puede trabajar con el dispositivo USB como si se encontrase conectado al puerto USB.

Una vez que termina la instalación, el instalador malicioso abre una página web utilizando el navegador del equipo infectado. Esta web trata de conseguir que el usuario conecte los dispositivos de autenticación biométrica mientras que el troyano se encuentra ejecutando en segundo plano.

Si el usuario conecta por USB los dispositivos de autenticación biométrica, el troyano lo comunicará al servidor de control, que le responderá con los comandos necesarios para utilizar el dispositivo y autenticar al usuario en el servidor de control del atacante, proporcionando a este acceso a la cuenta bancaria de la víctima.

behavioral_biometric_banking-05
Función principal del troyano

Como podemos observar en la imagen anterior, la función principal del malware se encarga de descargar e instalar el software legítimo para compartir los dispositivos USB a través de la red.

behavioral_biometric_banking-04
Función principal del troyano

Una vez descargado el instalador de ‘USB over Network’, este es ejecutado para comenzar la instalación. Tras la instalación, lo siguiente que hará este software malicioso será llamar a la función ‘cmdUSB’, que ejecuta el binario de ‘USB over Network’ pasándole como parámetro los comandos deseados.

El comando ‘tcpport 3940’ indica a ‘USB over Network’ que debe utilizar el puerto 3940 TCP para compartir los dispositivos USB a través de la red. Mientras que el comando ‘list’, obtiene la lista de dispositivos conectados al sistema. Tras la ejecución de cada comando, se envía al servidor de control el resultado de la ejecución, por lo que el comando ‘list’ enviará al servidor de control la lista de dispositivos conectados.

behavioral_biometric_banking-03
Ejecución del comando


behavioral_biometric_banking-02
Envío del resultado de ejecución del comando

Después de listar los dispositivos conectados al equipo y enviarlos al servidor de control, el siguiente paso, como podemos ver en la función principal del troyano, es obtener el dispositivo elegido por el servidor de control para compartir en red, para compartirlo utilizando el comando ‘share’.

El servidor debería tener una lista de dispositivos compatibles para realizar la autenticación biométrica, y si alguno de ellos se encuentra conectado al equipo, éste responderá con el dispositivo de autenticación para que sea el dispositivo compartido.

Una vez está listo el dispositivo para compartirlo en red, se ejecuta el último paso, que consiste en crear un túnel SSH con el servidor de control para que a través de éste el atacante pueda utilizar el dispositivo USB compartido.

behavioral_biometric_banking-01
Creación del túnel SSH con el servidor de control

A partir de este instante, el atacante tiene acceso a los dispositivos USB compartidos a través de la red, pudiendo así realizar la autenticación biométrica en su sistema y tener acceso a la cuenta bancaria de la víctima.

Conclusiones

El malware especialmente diseñado para evadir la autenticación biométrica, como hemos podido apreciar, existe. Aunque solamente haya información pública sobre un troyano bancario de este tipo, podría haber otros que no se hayan detectado aún.

En la mayoría de los servicios digitales del presente, no solamente en el sector bancario, se está introduciendo o ya se ha introducido la autenticación biométrica para el acceso y operación de los mismos. Cada vez es más complicado encontrar nuevos modelos de smartphones que no dispongan de algún tipo de funcionalidad relacionada con la biometría, siendo la más popular la autenticación por huella dactilar o Face ID de Apple.

Si finalmente se confirman las previsiones, el malware comenzará a adaptarse para lograr vencer este tipo de autenticación y lograr sus objetivos. Por ello, debemos estar preparados para detectar y proteger al usuario de estos nuevos ataques.

.

.

.

Temas: behavioral biometrics, Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Las Fintech también en el radar del malware

read more

Analizando un Malware Bancario Biométrico: Camubot

read more

Mensajes subliminares. El Phishing del futuro.

read more