El malware bancario en Android sigue en alza. Analizamos el reciente troyano bancario brasileño BasBanke/Coybot

Publicado por buguroo - 23/12/2019

BasBanke, también conocido como Coybot, es un malware bancario para Android diseñado para robar credenciales bancarias de entidades brasileñas, que inició su actividad maliciosa durante las elecciones brasileñas en octubre de 2018 y que ha vuelto a la carga recientemente.

Desde el comienzo de su actividad, este troyano no ha cambiado el objetivo de sus ataques (entidades bancarias de Brasil) y sus ataques han sido muy intermitentes, apareciendo nuevas muestras sin demasiada frecuencia.

Después de varios meses sin noticias de este troyano, estos últimos días han vuelto a aparecer nuevas muestras que siguen el comportamiento clásico de esta familia, todas ellas con el mismo funcionamiento, donde ha cambiado principalmente el nombre de la aplicación y su identificador de paquete:

basbanke-coybot_06Muestras detectadas en los últimos días

 

Infección

Aunque aún no se conoce a ciencia cierta cual es el vector de infección de este troyano, si tenemos en cuenta los vectores de infección de versiones anteriores, todo parece apuntar a que podría haberse propagado a través de mensajes de posts falsos en Facebook y falsos mensajes de Whatsapp.

Tomando como referencia los nombres y los logos que utiliza, las falsas publicaciones de Facebook y Whatsapp que podrían haber sido utilizadas para propagar el malware deberían avisar a los usuarios de una falsa actualización para Android y/o Google Play. En la siguiente imagen podemos observar una falsa ventana mostrada por el malware en su primer inicio tras la instalación.

basbanke-coybot_01
Imagen mostrada por la app al iniciarla tras su instalación

 

Funcionamiento

Este malware bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios para Android, y que ya hemos introducido en anteriores posts o informes. Solicita al usuario que le proporcione permisos de accesibilidad y ejecuta un servicio en segundo plano para recibir notificaciones cuando el usuario realiza alguna acción en la interfaz gráfica.

De esta forma, el malware recibe información sobre la actividad del usuario y las aplicaciones en las que se está produciendo dicha actividad.

basbanke-coybot_02Código que comprueba el identificador de paquete de la app abierta en primer plano

En la anterior imagen se puede observar cómo el troyano comprueba los identificadores de paquete de la aplicación que se encuentra ejecutando en primer plano. Estos identificadores llegan gracias al servicio de accesibilidad que ejecuta el malware en segundo plano.

También podemos observar que este malware trata de ocultar las cadenas de las entidades afectadas codificándolas en Base64 y decodificándolas cuando son necesarias. Este detalle, aunque no dificulta demasiado el análisis por parte del analista, si que puede suponer un problema en el caso de sistemas de análisis automático, ya que la cadena no se encuentra en un formato de texto claro en el código.

basbanke-coybot_03Se muestra una actividad falsa justo al abrir una de las apps afectadas

Una vez que se detecta una aplicación afectada, el troyano muestra una actividad de Android con un formulario de login muy similar al original, con el objetivo de que el usuario introduzca sus credenciales, que posteriormente son enviadas al servidor de control. 

Además de utilizar codificación Base64 para ocultar las cadenas de texto, este malware también incluye cadenas cifradas con AES, que son descifradas al inicio de la aplicación para utilizarlas posteriormente.

basbanke-coybot_04Cadenas cifradas con AES que son descifradas al inicio

basbanke-coybot_05Rutina de descifrado de cadenas

Otro detalle interesante de este malware es la similitud en una de sus peticiones HTTP con un malware para Windows conocido como ‘Pazera’. Una de estas peticiones envía datos sobre el dispositivo infectado, y resulta curioso el hecho de que esta petición se realiza contra un script PHP llamado ‘ponto.php’, que es el mismo script al que conectan la mayoría de los troyanos ‘Pazera’ para enviar precisamente la misma información relacionada con las versiones del sistema operativo y el sistema infectado.

basbanke-coybot_07Petición a ‘ponto.php’ similar a la de los troyanos ‘Pazera’ para Windows

Esta curiosidad podría significar que los autores que se encuentran detrás de este malware también podrían ser los mismos desarrolladores de ‘Pazera’. Aunque el troyano ‘Pazera’ para Windows se centra en entidades latinoamericanas, y este banker para Android afecta únicamente a entidades brasileñas.

 

Conclusiones

El malware para Android está en alza y cada día son más las familias de troyanos bancarios que amenazan a los usuarios de diferentes entidades bancarias de todo el mundo.

La gran mayoría de bankers actuales siguen el mismo modus operandi y se sirven de ‘overlays’ para mostrar una ventana falsa que solicita las credenciales de acceso al usuario. Esta ventana se muestra tan pronto como se inicia la aplicación oficial de la entidad bancaria, haciendo pensar al usuario que es la aplicación legítima la que solicita dichos datos para, después, ser robados.

Teniendo en cuenta la popularidad y el incremento de este tipo de malware para Android, debemos estar alerta para proteger los datos y dinero de los clientes bancarios finales. Además hay que tener en cuenta que el malware para Android es capaz de acceder a los mensajes de texto recibidos, por lo que los mecanismos de segundo factor de autenticación basados en contraseñas de un solo uso enviadas por SMS pueden no ser efectivos en absoluto. La implementación de otros sistemas como la Biometría del Comportamiento que sean capaces de detectar si un usuario puede estar siendo suplantado o manipulado durante toda la sesión son realmente útiles para proteger al usuario y su información.

Si deseas saber más sobre cómo buguroo puede ayudarte a proteger a tus clientes ante este tipo de ataques, ponte en contacto con nosotros.

Temas: malware, Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Tres predicciones sobre el fraude online para 2020

read more

Fraude de Cuenta Nueva (NAF)

read more

Descubierto un troyano espía que explota la vulnerabilidad Android Binder

read more