Análisis del troyano bancario brasileño BasBanke/Coybot


BasBanke, también conocido como Coybot, es un malware bancario para Android diseñado para robar credenciales bancarias de entidades brasileñas, que inició su actividad maliciosa durante las elecciones brasileñas en octubre de 2018 y que ha vuelto a la carga recientemente.

Desde el comienzo de su actividad, este troyano bancario no ha cambiado el objetivo de sus ataques (entidades bancarias de Brasil) y sus ataques han sido muy intermitentes, apareciendo nuevas muestras sin demasiada frecuencia.

Después de varios meses sin noticias de este troyano bancario brasileño, estos últimos días han vuelto a aparecer nuevas muestras que siguen el comportamiento clásico de esta familia, todas ellas con el mismo funcionamiento, donde ha cambiado principalmente el nombre de la aplicación y su identificador de paquete:

basbanke-coybot_06Muestras detectadas en los últimos días

 

¿Cómo infecta dispositivos este troyano bancario brasileño?

Aunque aún no se conoce a ciencia cierta cual es el vector de infección de este troyano bancario, si tenemos en cuenta los vectores de infección de versiones anteriores, todo parece apuntar a que podría haberse propagado a través de mensajes de posts falsos en Facebook y falsos mensajes de Whatsapp.

Tomando como referencia los nombres y los logos que utiliza, las falsas publicaciones de Facebook y Whatsapp que podrían haber sido utilizadas para propagar el malware deberían avisar a los usuarios de una falsa actualización para Android y/o Google Play. En la siguiente imagen podemos observar una falsa ventana mostrada por el troyano brasileño en su primer inicio tras la instalación.

basbanke-coybot_01
Imagen mostrada por la app al iniciarla tras su instalación

 

¿Cómo funciona el troyano bancario BasBanke/Coybot?

Este malware bancario sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios para Android, y que ya hemos introducido en anteriores posts o informes. Solicita al usuario que le proporcione permisos de accesibilidad y ejecuta un servicio en segundo plano para recibir notificaciones cuando el usuario realiza alguna acción en la interfaz gráfica.

De esta forma, el malware recibe información sobre la actividad del usuario y las aplicaciones en las que se está produciendo dicha actividad.

basbanke-coybot_02Código que comprueba el identificador de paquete de la app abierta en primer plano

En la anterior imagen se puede observar cómo el troyano brasileño comprueba los identificadores de paquete de la aplicación que se encuentra ejecutando en primer plano. Estos identificadores llegan gracias al servicio de accesibilidad que ejecuta el malware en segundo plano.

También podemos observar que este troyano bancario brasileño trata de ocultar las cadenas de las entidades afectadas codificándolas en Base64 y decodificándolas cuando son necesarias. Este detalle, aunque no dificulta demasiado el análisis por parte del analista, si que puede suponer un problema en el caso de sistemas de análisis automático, ya que la cadena no se encuentra en un formato de texto claro en el código.

basbanke-coybot_03Se muestra una actividad falsa justo al abrir una de las apps afectadas

Una vez que se detecta una aplicación afectada, el troyano bancario muestra una actividad de Android con un formulario de login muy similar al original, con el objetivo de que el usuario introduzca sus credenciales, que posteriormente son enviadas al servidor de control. 

Además de utilizar codificación Base64 para ocultar las cadenas de texto, este malware también incluye cadenas cifradas con AES, que son descifradas al inicio de la aplicación para utilizarlas posteriormente.

basbanke-coybot_04Cadenas cifradas con AES que son descifradas al inicio

basbanke-coybot_05Rutina de descifrado de cadenas

Otro detalle interesante de este troyano bancario brasileño es la similitud en una de sus peticiones HTTP con un malware para Windows conocido como ‘Pazera’. Una de estas peticiones envía datos sobre el dispositivo infectado, y resulta curioso el hecho de que esta petición se realiza contra un script PHP llamado ‘ponto.php’, que es el mismo script al que conectan la mayoría de los troyanos ‘Pazera’ para enviar precisamente la misma información relacionada con las versiones del sistema operativo y el sistema infectado.

basbanke-coybot_07Petición a ‘ponto.php’ similar a la de los troyanos ‘Pazera’ para Windows

Esta curiosidad podría significar que los autores que se encuentran detrás de este troyano bancario también podrían ser los mismos desarrolladores de ‘Pazera’. Aunque el troyano ‘Pazera’ para Windows se centra en entidades latinoamericanas, y este banker para Android afecta únicamente a entidades brasileñas.

 

Conclusiones sobre este troyano bancario brasileño

El malware para Android está en alza y cada día son más las familias de troyanos bancarios que amenazan a los usuarios de diferentes entidades bancarias de todo el mundo.

La gran mayoría de bankers actuales siguen el mismo modus operandi y se sirven de ‘overlays’ para mostrar una ventana falsa que solicita las credenciales de acceso al usuario. Esta ventana se muestra tan pronto como se inicia la aplicación oficial de la entidad bancaria, haciendo pensar al usuario que es la aplicación legítima la que solicita dichos datos para, después, ser robados.

Teniendo en cuenta la popularidad y el incremento de este tipo de troyanos bancarios para Android, debemos estar alerta para proteger los datos y dinero de los clientes bancarios finales.

Además hay que tener en cuenta que el malware para Android es capaz de acceder a los mensajes de texto recibidos, por lo que los mecanismos de autenticación en dos pasos basados en contraseñas de un solo uso enviadas por SMS pueden no ser nada efectivos.

La implementación de otros sistemas, como la Biometría del Comportamiento, que sean capaces de detectar si un usuario puede estar siendo suplantado o manipulado durante toda la sesión son realmente útiles para proteger al usuario y su información.

Si deseas saber más sobre cómo buguroo puede ayudarte a proteger a tus clientes ante este los ataques ,como el de este troyano bancario brasileñoponte en contacto con nosotros.


Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

 

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo