Blackload: Malware bancario afectando a países asiáticos


Desde su primera detección a finales de Febrero de este año, el troyano bancario Blackloan ha estado afectando a usuarios de China, Vietnam y Malasia. 

Su nombre se debe al nombre de paquete de Android que sus desarrolladores dan a la mayor parte de las muestras detectadas: com.loan.test1.

blackload-malware-banker-asian-01
Como vector de infección, este malware utiliza páginas web de phishing en las que se solicita a la víctima que introduzca datos personales, además de otros datos relacionados con su tarjeta de crédito y su entidad bancaria. Estas webs suplantan a páginas de entidades reconocidas, entre las que se encuentran: Visa, Ministerios de Seguridad (en campañas de Vietnam) o entidades bancarias.

blackload-malware-banker-asian-02
A través de estas páginas de phishing, el atacante trata de convencer al usuario de que introduzca ciertos datos personales e instale una aplicación supuestamente oficial, pero que en realidad oculta al troyano que robará credenciales, información sobre la geolocalización y mensajes de texto, entre otros.

 

Funcionamiento

A diferencia de otros troyanos bancarios de los que ya hemos hablado en otras ocasiones, como Cerberus, Eventbot o GINP, Blackloan no utiliza una estrategia basada en ‘overlays’ para robar los credenciales de sus víctimas.

En este caso, cada muestra del malware está destinada a robar credenciales para una entidad específica, no incluyendo diferentes inyecciones para diferentes entidades.

Dependiendo del país en el que se ha distribuido, se ha suplantado a una entidad distinta, y por tanto, la muestra ha sido diseñada para robar credenciales de una entidad u otra, además de datos confidenciales de la víctima.

En el caso de los ataques a usuarios chinos, la entidad a suplantar elegida por los atacantes ha sido Visa.

blackload-malware-banker-asian-03

Web de phishing utilizada en el troyano

Como podemos observar en la imagen anterior, la aplicación hace creer al usuario que se trata de la aplicación legítima de Visa, solicitando los datos de su tarjeta de crédito, además del nombre de la víctima y otros datos sensibles.

En el caso de los ataques a usuarios de Vietnam, el malware suplanta al ministerio de seguridad pública, solicitando datos confidenciales a la víctima.

blackload-malware-banker-asian-04

Formulario web de phishing en la campaña de Vietnam

Por último, en la campaña de malware de Malasia, Blackloan ha suplantado al Banco Nacional de Malasia, solicitando a las víctimas información personal y credenciales.

blackload-malware-banker-asian-05

Formulario de phishing utilizado en la campaña de Malasia

En todas estas campañas la aplicación maliciosa suplanta a la entidad, y muestra una vista web que carga la página con el phishing para la entidad correspondiente. Esta ‘WebView’ no se muestra al abrir la aplicación legítima de la entidad suplantada, en su lugar, se muestra cuando el usuario abre la app maliciosa.

Este esquema de funcionamiento es muy diferente al esquema utilizado por las familias de malware bancario más conocidas, que utilizan un servicio de accesibilidad para recibir los eventos de accesibilidad que se producen mientras el usuario interactúa con el sistema, y que permiten al malware detectar el momento en el que el usuario abre una aplicación de una entidad afectada para mostrar el phishing.

En este caso, solamente se muestra el phishing cuando el usuario decide abrir la aplicación maliciosa.

Aunque la funcionalidad principal de robo de credenciales no sigue la estrategia habitual, el resto de funcionalidades de robo de datos confidenciales si que siguen las estrategias habituales.

Y es que, además del robo de credenciales a través de formularios de phishing, este troyano también incluye funcionalidad típica de malware espía.

Está preparado para interceptar los mensajes de texto enviados y recibidos, además de enviar información sobre el registro de llamadas telefónicas, incluyendo el número de teléfono al que se llama o el que realiza la llamada, la fecha y la duración.

blackload-malware-banker-asian-06

Código que envía los SMS recibidos al servidor de control



blackload-malware-banker-asian-07

Código para obtener el registro de llamadas y enviarlo al C2


Otra de las funcionalidades de robo de información que incluye esta familia es la recopilación y envío de la agenda de contactos. También incluye funcionalidad que permite al atacante monitorizar la localización GPS de la víctima.


blackload-malware-banker-asian-08

Código encargado de obtener la lista de contactos


blackload-malware-banker-asian-09

Código encargado de obtener la localización del dispositivo para su posterior envío

 

Conclusiones

Blackloan es una nueva familia detectada en febrero de este año, sus desarrolladores se han centrado en el robo de información personal confidencial de sus víctimas, centrándose principalmente en datos de tarjetas bancarias.

Esta es la diferencia más importante con respecto al resto de familias de malware bancario más populares, ya que en éstas los atacantes incluyen una lista de entidades afectadas bastante larga, que además va aumentando su tamaño a lo largo del tiempo.

A excepción de las diferencias en la estrategia de datos bancarios, el resto de funcionalidad si que es bastante similar a la funcionalidad espía que suelen presentar la mayor parte de ‘bankers’ para Android, incluyendo funcionalidad como robo de SMS, robo de la agenda de contactos, robo del registro de llamadas y monitorización de la localización del dispositivo.

Debemos estar atentos a cualquier novedad sobre esta nueva familia, ya que aunque solamente a atacado en el continente asiático, ésta podría comenzar a expandirse por otros continentes, poniendo en su punto de mira nuevas entidades.

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo