TROYANOS BANCARIOS PARA ANDROID

En lo que a malware bancario se refiere, encontramos que la gran mayoría de las familias no se quedan en la funcionalidad básica de malware que roba credenciales, sino que sus desarrolladores tratan de aumentar todo lo posible sus capacidades para atraer compradores.

El negocio no queda en un intento por dar la mayor cantidad de funcionalidad al comprador, sino que usan las mismas estrategias de marketing que en cualquier otro negocio legal: promociones, periodos de prueba de sus productos, etc.

NUEVO BANKER EN ANDROID

Esta posible nueva familia comparte ciertas similitudes con Cerberus y Eventbot, aunque no parece tratarse de ninguno de ellos debido a ciertas diferencias clave, como el cifrado de los datos enviados y recibidos del servidor de control y los comandos que pueden ejecutarse en el dispositivo a través del servidor.

Descartamos que pueda tratarse de una nueva iteración de alguna de estas dos familias, ya que no presenta una de las características más importantes y que dificulta el análisis: el cifrado y ofuscación de cadenas de texto.

ANDROID BANKER EVENBOT

Desde marzo se han ido detectado muestras de un nuevo troyano en la escena del malware bancario para Android. El nombre que ha recibido esta nueva familia ha sido ‘Eventbot’. El nombre se debe principalmente al uso de esta palabra en el identificador de paquete de las aplicaciones maliciosas, aunque esta palabra probablemente provenga de su novedosa funcionalidad que roba credenciales a partir de eventos de accesibilidad.

La mayor parte de troyanos bancarios utilizan los eventos de accesibilidad para detectar cuando una aplicación es iniciada, de forma que en ese momento pueden mostrar una inyección web con el formulario de phishing que roba las credenciales de la víctima.

ANDROID BANKER BASBANKE/COYBOT

BasBanke, también conocido como CoyBot, ha estado muy activo en las últimas semanas, como nuevas campañas de propagación de nuevas muestras en las que no solo ha suplantado otras marcas para hacer creer al usuario que se trata de una aplicación legítima, sino que también ha suplantado a entidades bancarias en versiones específicas que afectan únicamente a dichas entidades.

La gran novedad es la inclusión de nuevas entidades bancarias afectadas.

ANÁLISIS GLOBAL SOBRE EL MALWARE BANCARIO 2019

En este informe vamos a detallar las principales familias de malware bancario para Windows y Android que hemos detectado durante el año 2019, teniendo en cuenta los países de origen de las entidades afectadas.

Teniendo en cuenta la importante cantidad de malware para Android y su crecimiento, y que la mayoría de los segundos factores de autenticación dependen de nuestros dispositivos móviles, ¿cómo podemos proteger a nuestros usuarios?

ANALIZANDO TRICKBOT, UNO DE LOS MALWARE BANCARIOS MÁS POPULARES PARA WINDOWS

Aunque el malware para dispositivos móviles gana popularidad en los últimos años debido al auge de los smartphones, en los que hoy en día se puede gestionar casi cualquier cosa, el malware para escritorio sigue ahí.

Además, con las mejoras introducidas en la detección de amenazas, son los desarrolladores de malware los que evolucionan e incluyen funcionalidades cada vez más complejas para lograr su objetivo y robar credenciales bancarias.

GINP ES UNO DE LOS NUEVOS TROYANOS BANCARIOS ORIENTADO ESPECÍFICAMENTE A LA BANCA ESPAÑOLA

El robo de credenciales bancarias está basado en ‘overlays’ que se muestran al usuario cuando éste inicia la aplicación legítima de la entidad bancaria afectada. Además del uso de ‘overlays’, GINP utiliza las mismas técnicas que el resto de los troyanos bancarios de Android para detectar el inicio de apps legítimas, implementando un servicio de accesibilidad que recibe los eventos que se producen en la interfaz de usuario.

Resulta especialmente curioso el hecho de que este malware haya pasado de ser un troyano espía a ser un troyano bancario que, además afecta únicamente a entidades bancarias españolas. Esto indica que estas muestras se encuentran especialmente diseñadas para afectar a usuarios españoles.

NUEVA VERSIÓN DEL TROYANO BANCARIO CERBERUS DIRIGIDA A ATACAR ENTIDADES ESPAÑOLAS Y LATINOAMERICANAS

Las muestras llegaron a través de nuestros sistemas de análisis automático de malware, y tras el estudio realizado no se han podido encontrar los vectores de propagación utilizados por los delincuentes.

Probablemente, tal y como suele ser habitual con este tipo de malware, la distribución del APK malicioso se haya realizado a través de páginas web fraudulentas.

NUEVO MALWARE DE TIPO “HOST MODIFIER” QUE AFECTA A ENTIDADES BANCARIAS DE LATINOAMÉRICA

Los troyanos de tipo ‘Host Modifier’ suelen distribuirse a través de correos electrónicos de SPAM falsos, en los que es habitual que el atacante suplante organismos públicos o empresas. Este modus operandi no es nuevo para esta familia de malware, ya que podemos observar otras familias que afectan a entidades latinoamericanas y que también utilizan estos trucos.