Android Malware aprovecha el COVID-19


En estos momentos de pandemia, en la que hemos estado en cuarentena para evitar contagios por el COVID-19 los desarrolladores de malware viven probablemente uno de los periodos con mayor carga de trabajo.

Para la mayoría de familias de malware, tanto bancario como ransomware, RAT, o cualquier otro tipo; se han detectado muestras que utilizan el coronavirus para aumentar la cantidad de dispositivos infectados.

malware-android-covid-19-10

Los atacantes han encontrado en esta complicada situación que vivimos una nueva forma de aumentar el número de víctimas de sus creaciones. Desde falsas aplicaciones para controlar la propagación del coronavirus, hasta mapas de evolución de la pandemia, pasando por aplicaciones maliciosas que supuestamente incluyen recomendaciones para evitar infectarse con el virus biológico.

En estos momentos difíciles los usuarios bajan la guardia, y cualquier aplicación relacionada con el COVID-19 que pueda proporcionar información sobre el estado de la pandemia es de interés. Esto provoca que se acaben instalando y ejecutando, tanto en dispositivos móviles como en ordenadores, aplicaciones que comprometen la seguridad del sistema. Los desarrolladores de malware lo saben, y aprovechan esto para llenar la red con falsas aplicaciones que en realidad ocultan a sus creaciones.

La hablamos al comienzo de la cuarentena de la campaña de malware ‘Vicious Panda’, que aprovechaba el virus biológico para infectar nuestros ordenadores a través de un falso correo electrónico que afirmaba incluir información sobre el virus.

 

Malware bancario utilizando el COVID-19

El malware bancario para Android es de los sectores en los que más se ha aprovechado el coronavirus para distribuir aplicaciones maliciosas entre los usuarios. Casi todas las familias activas han distribuido alguna muestra que simulaba ser una supuesta aplicación con información sobre el virus.

En el apartado técnico no se han detectado novedades entre las muestras, el funcionamiento sigue siendo el mismo que se ha descrito en anteriores posts e informes sobre cada una de las familias de ‘bankers’: Anubis Bankbot, Cerberus, GINP y Eventbot.

malware-android-covid-19-01

En el caso de GINP, la familia de malware bancario que afecta de forma exclusiva a entidades bancarias españolas, no solo se han detectado muestras especialmente diseñadas (con icono y nombre de la aplicación) para engañar al usuario haciéndole creer que se trata de una app para informarse sobre el coronavirus, sino que también ha aprovechado muestras habituales que se hacen pasar por un reproductor de video.

Para introducir la componente de COVID-19 y engañar al usuario en el caso de muestras que afirman ser reproductores de vídeo, los desarrolladores han utilizado páginas webs fraudulentas que muestran un falso video sobre cómo utilizar una mascarilla. Para poder visualizar el video, la víctima debe descargar la aplicación maliciosa.

malware-android-covid-19-02

Web fraudulenta distribuye el troyano GINP como un falso reproductor para ver videos


Anubis Bankbot
no ha sido menos, y esta familia de bankers para Android también ha distribuido nuevas muestras que, como se puede apreciar en la siguiente imagen, afirma ser una aplicación para recibir alertas relacionadas con el COVID-19. Aunque en realidad se trata de una aplicación maliciosa especialmente diseñada para robar credenciales bancarias.

malware-android-covid-19-03

Falsa aplicación de alertas que distribuye Anubis Bankbot


Las apps que afirman ser aplicaciones para recibir alertas o para mantenerse actualizado del estado de las infecciones en todo el mundo son de las más extendidas. En el caso de Cerberus podemos observar una muestra que afirma ser un ‘Tracker’ del coronavirus.

malware-android-covid-19-04

Falso ‘tracker’ de coronavirus que distribuye Cerberus

 

En otros casos incluso se hacía pasar el troyano por una aplicación capaz de mostrar información sobre casos de COVID-19 que se encontrasen cerca.

malware-android-covid-19-05

Banker GINP que afirmaba ser capaz de mostrar casos cercanos

 

Malware no bancario utilizando el COVID-19

No solo los troyanos bancarios han aprovechado el COVID para distribuir muestras de aplicaciones sobre el virus, muchos otros tipos de malware también han utilizado esta estrategia para infectar una mayor cantidad de usuarios.

Algunos atacantes han utilizado aplicaciones legítimas para distribuir su apps maliciosas. En el caso del troyano espía ‘AhMyth’, sus creadores han modificado una aplicación benigna disponible en el Google Play que permitía ver la evolución del coronavirus. En este caso se ha añadido la funcionalidad maliciosa a la aplicación, añadiendo los permisos adicionales que requiere para funcionar y añadiendo el código necesario al comienzo de la actividad principal para iniciar el servicio malicioso.

malware-android-covid-19-06

Inicio del servicio malicioso en la creación de la actividad principal

 

Este troyano espía permite a sus desarrolladores enviar mensajes texto y robar los recibidos, obtener los ficheros almacenados en el dispositivo, grabar utilizando el micro, hacer fotos utilizando la cámara, obtener la localización y robar la agenda de contactos así como el registro de llamadas. Como podemos apreciar, ‘AhMyth’ es un troyano espía bastante completo y peligroso, que ha aprovechado el COVID-19 para aumentar el número de víctimas.

malware-android-covid-19-07

Clases que implementan la funcionalidad del troyano

 

Además de software espía, no podía faltar el adware, y es que se han detectado también muestras de las familias ‘Joker’ y ‘HiddenAd’ haciéndose pasar por aplicaciones de alertas y noticias sobre el coronavirus.

 

malware-android-covid-19-08
Aplicación sobre el coronavirus que infectada con HiddenAd


Y por último, tampoco han faltado las aplicaciones construidas con Metasploit que introducen código en aplicaciones legítimas para mantener una conexión con el atacante. De forma que el atacante puede controlar remotamente el dispositivo a través de dicha conexión.

malware-android-covid-19-09

 

Conclusiones

Como hemos podido observar, son muchas las familias de bankers que han utilizado el coronavirus para distribuir aplicaciones maliciosas entre los usuarios, haciéndoles creer que se trataban de aplicaciones para recibir noticias y alertas, para ver casos cercanos o incluso aplicaciones que permitirían visualizar videos sobre como ponerse una mascarilla.

Pero no solo los troyanos bancarios han aprovechado la desesperación de los usuarios frente a la situación que vivimos, todo tipo de malware ha utilizado el COVID-19 para aumentar la cantidad de infecciones. Desde adware, pasando por spyware e incluso encontrando ‘payloads’ de metasploit inyectados en aplicaciones sobre el virus.

Debemos estar alerta, no solo frente al virus biológico, sino también frente a las amenazas tecnológicas que, en este momento, son un peligro adicional al que nos enfrentamos.

 

IoCs

Hash:

  • cdae640237fa190c62f0b1d89e504dc0d728e771026b241b1a549f9c8b6d57c0 (GINP)
  • 9c7b234d0d46169dcefb9f5b22c5df134b1a120b67666c071feaf97a6078d1a1 (Anubis Bankbot)
  • 9ffda0c1e8e9e9c63c5219941f3f72f04ef8027b2ed8443498100df27e00b8b0 (Cerberus)
  • cbbbd1a3eae287286ca6d28628d98c78c971964aa4a725c094a2f6ebf1061edc (AhMyth)
  • 449a67e03e05e2035b33fd253bee3f8bcf9c54c85e2bfde571e7e5d44ae485bb (HiddenAd)
  • 5fc70afc5eda6c0cbd33026c3b29a521708e18639fdb1ec4c1beec690f258210 (Metasploit)
 

 

Publicado por David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of buguroo’s development team, managing task distribution and negotiating with the Head of Technology.


¿Te ha gustado? Comparte en tus comunidades sociales.

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo