Bankbot: evolución y actualidad

Publicado por buguroo - 10/04/2019

Hoy en día cada vez más usuarios utilizan sus dispositivos móviles para realizar sus tareas cotidianas, por ejemplo, la gestión de sus cuentas bancarias, lo que ha producido una tendencia al alza en el número de Malware detectado para este tipo de plataformas.

Desde buguroo hemos podido observar la tendencia alcista en el número de detecciones y el aumento de muestras identificadas de tipo bancario móvil.

Esto nos hace concluir que este tipo de amenazas cada vez van a ser más sofisticadas. En este artículo realizaremos un recorrido durante la historia del troyano bancario BankBot/Anubis viendo su evolución durante años y lo comparemos con las últimas muestras encontradas para ver sus orígenes y cómo ha ido evolucionando desde el punto de vista técnico y desde el de los intereses de los delincuentes.

Cronología

Gracias al excelente trabajo de seguimiento del “Bankbot” realizado por Lukas Stefanko tenemos una clara visión de cómo y cuándo han ido apareciendo las diferentes variantes de este troyano.

Primera versión encontrada en los bajos fondos de los foros rusos

Su primer avistamiento fue realizado por Dr. Web a principios de 2017. Este fue publicado abiertamente a finales de 2016 en foros como nora.biz, forum.exploit.in y a0007517.xsph.ru. A fecha de hoy aún es posible acceder al código original en uno de estos foros.

bankbot-01

Durante esa primera campaña el objetivo principal del Malware era el robo de credenciales de bancos rusos. Para ello en su primera versión “Bankbot” se hacía pasar por aplicaciones de Google como podía ser “Google Play”.

Tenía las siguientes funcionalidades:

  • Recolección de contactos de la víctima.
  • Envío e intervención de SMS.
  • Escalada de privilegios.
  • Acceso a la información de geolocalización.
  • Módulo de “banker” que consistía en mostrar una pantalla falsa del banco objetivo encima de la legítima cuando la víctima accedía a la aplicación legítima (Overlay).
  • Técnicas de anti-detección. Buscando aplicaciones conocidas de antivirus instaladas en el dispositivo.  
bankbot-02 bankbot-03

Como dato curioso el código original del C&C carecería de un sistema de “login” por lo que cualquiera podía acceder a las funcionalidades que este contenía (Bots conectados, logs, etc.), que además había sido programado adrede por el desarrollador original como se puede ver en uno de sus comentarios en los foros.

bankbot-04

bankbot-05

Campaña “Good Weather”

El 22 de febrero de 2017 ESET publicó la detección de un troyano bancario que había conseguido saltarse los mecanismo de seguridad de Google introduciéndose en el mercado de “Google Play” haciéndose pasar por una aplicación de pronóstico del tiempo.

Esta vez la campaña tenía como objetivo bancos turcos y las funcionalidades eran las mismas que en el caso anterior más una nueva funcionalidad, la capacidad de bloquear y desbloquear el dispositivo. Se sospecha que esta funcionalidad fue añadida para mantener al usuario bloqueado mientras se realizaba la operación de extracción de fondos de la cuenta bancaria de la víctima.

bankbot-06 

 

bankbot-07

Segunda oleada “Weather fake apps”

Un día después de la anterior publicación, ESET publicó que habían encontrado más aplicaciones maliciosas haciéndose pasar por aplicaciones del tiempo. La única diferencia con la anterior era que ahora tenía como objetivos muchas más entidades bancarias (69 en concreto) de distintos países como eran, Inglaterra, Austria, Alemania y Turquía.  

bankbot-08 

 

La aparición del BankbotAlpha

El 26 de abril de 2017 Fortinet publicó un artículo anunciando que se había avistado una nueva variante del conocido hasta entonces como “Bankbot” que sería nombrada como “BankBot Alpha”.

Después del análisis por parte de Fortinet se llegó a la conclusión que la nueva versión era claramente una derivación del original debido a múltiples coincidencias en el código, como por ejemplo el uso de los mismos “Strings” y errores tipográficos en los comentarios. A diferencia del original esta nueva versión tenía menos funcionalidades como por ejemplo la detención de AVs, un menor número de aplicaciones soportadas de bancos, mensajería y ofuscación de código.

En 2019 Bankbot sigue dando muestras de actividad y presencia tanto en forma de versiones antiguas como también a través de nuevas que están emergiendo. Si te interesa este tema, en el siguiente Whitepaper encontrarás un análisis análisis técnico más detallado sobre la presencia de Bankbot en la actualidad.

Si deseas saber más sobre cómo bugFraud es capaz de detectar, entre otros, ataques de fraude bancario de tipo malware como es este caso de bankbot, consulta nuestra web www.buguroo.com

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

El futuro de las infecciones: malware autónomo

read more

Hackeando el cerebro II: Superando el firewall

read more

Un nuevo troyano bancario “BANKER RTC PORTAL” ataca a bancos latinoamericanos y europeos

read more