El troyano Faketoken ha vuelto: analizamos su funcionamiento


Durante las últimas semanas se han detectado varias muestras de ‘Faketoken’, un troyano bancario para Android detectado por primera vez en 2014. Estas muestras estarían utilizando los dispositivos infectados para enviar mensajes SMS de spam o phishing para su propagación. Debido al envío de estos mensajes, muchos de ellos enviados fuera del país, los usuarios infectados están sufriendo un aumento en la factura de teléfono.

Las primeras versiones de este ‘banker’ funcionaban junto a un troyano bancario de escritorio, que robaba las credenciales de acceso. Después utilizaba el troyano para Android para robar los mensajes SMS de autenticación con los códigos de un solo uso que autorizan transacciones o el acceso a la cuenta.

Las últimas versiones detectadas de este troyano en diciembre y principios de enero afectan únicamente a entidades bancarias rusas. Utilizan el logo y el nombre de la plataforma rusa de anuncios clasificados ‘Avito’ en el market de Android para lograr que los usuarios instalen la aplicación como si se tratase de una app legítima.

faketoken-banking-trojan-06
Una de las muestras detectadas en Enero

Este comportamiento sugiere que la infección se podría estar realizando a través de webs fraudulentas que engañan al usuario haciéndole creer que necesita actualizar la app de Avito o que debe instalarla para acceder a cierto contenido.

 

¿Cómo funciona el troyano Faketoken?

Este ‘banker’ para Android sigue el esquema habitual de este tipo de malware: declara un servicio de accesibilidad que recibe los eventos generados por el usuario durante el uso del resto de apps, y cuando se obtienen eventos relacionados con las aplicaciones afectadas, éste muestra inyecciones de código para robar credenciales bancarias o información de tarjetas de crédito.

Al diferencia de lo que ocurre con otras familias de malware, como Anubis Bankbot o Cerberus, en este caso el troyano no se centra únicamente en el robo de credenciales bancarias, sino que incluye soporte para robar datos de tarjetas de crédito cuando el usuario inicia una aplicación no relacionada con ninguna entidad bancaria. 

Se centra especialmente en aplicaciones de redes sociales como Whatsapp, Telegram o la rusa Vkontakte. Además de estas, también se están viendo afectadas por este troyano bancario aplicaciones de transporte, especialmente de taxis, como la app de Taxis de Yandex o Uber, y aplicaciones de reservas, como Trivago o Tripadvisor.

 

faketoken-banking-trojan-05
Una pequeña parte de la lista de apps afectadas

 

faketoken-banking-trojan-04
Overlay’ mostrado al abrir una de las apps afectadas

Como podemos observar en la imagen anterior, este malware utiliza ‘overlays’ para robar credenciales bancarias y datos de la tarjeta de crédito. La diferencia con la mayoría del malware bancario reside en el uso de vistas nativas en lugar de utilizar ‘WebViews’. De esta forma, el ‘banker’ evita cargar una web de phishing para robar los datos, lo que permite que los ‘overlays’ puedan parecer más realistas, puesto que en ocasiones pueden verse diferencias con los formularios originales cuando se trata de una web.

 

Sin embargo, el uso de vistas nativas y no ‘WebViews’ limita la capacidad para añadir nuevas entidades, ya que debe crearse una vista diferente para cada entidad, mientras que el diseño y desarrollo de una web de phishing para mostrarla en una ‘WebView’ es más sencillo y rápido. Este detalle puede ser el motivo por el cual este troyano, desde su lanzamiento, solo ha afectado a entidades rusas. Al parecer sus autores están interesados en el mercado ruso, por lo que utilizar vistas web para agilizar el desarrollo y aumentar el soporte de entidades no es un aspecto importante para ellos.

 

¿Puede mi antivirus protegerme de Faketoken?

Una funcionalidad curiosa es que algunas de las muestras analizadas de este tipo de malware bancario incluyen código para comprobar las aplicaciones instaladas en el dispositivo cada cinco minutos. En el caso de encontrar aplicaciones antivirus, éste ejecutará un ‘Intent’ para tratar de desinstalar la app. De esta forma trata de evitar que las aplicaciones antivirus puedan detectarlo y alertar al usuario.

 

faketoken-banking-trojan-03Código encargado de ejecutar el ‘Intent’ para desinstalar la aplicación indicada como parámetro

Esta  funcionalidad no suele ser muy habitual en este tipo de troyanos, sobretodo si se trata específicamente de desinstalar antivirus. Otras familias de malware, normalmente no ‘bankers’, sí que incluyen esta funcionalidad, pero para permitir al atacante con acceso remoto que pueda instalar y desinstalar aplicaciones a su antojo, no para desinstalar software antimalware de forma específica.

faketoken-banking-trojan-02
Lista de aplicaciones antivirus que intenta eliminar

 

¿Cómo envía el troyano bancario Faketoken los datos robados?

Otro detalle curioso sobre el funcionamiento tiene que ver con el envío de datos robados al servidor de control. En el caso de esta familia, el malware no envía los credenciales robados en el momento en el que el usuario los introduce, en su lugar, los almacena en una base de datos SQLite para enviarlos al servidor de control más tarde.

faketoken-banking-trojan-01
Los datos robados se almacenan en bases de datos SQLite para su posterior envío

 

Conclusiones de nuestro análisis

Después del análisis realizado, no podemos decir que esta familia de troyano bancario incorpore grandes novedades con respecto a otras familias ya existentes. Solamente se pueden destacar pequeños detalles, como la presencia de la funcionalidad para eliminar aplicaciones antivirus.

En el apartado puramente de robo de  datos bancarios, el funcionamiento mediante ‘overlay’ es el mismo que el de prácticamente todas las familias de malware bancario. Como peculiaridad, este ‘banker’ no utiliza ‘WebViews’, por lo que el ‘overlay’ no muestra una web de phishing, en su lugar muestra una actividad nativa de Android con el formulario.

Aunque el hecho de que solamente haya afectado a entidades rusas y que no utilice ‘overlays’ basados en ‘WebViews’ sugieren que es poco probable que amplíen el soporte de entidades fuera de Rusia, nunca podemos estar seguros, por lo que habrá que mantenerse alerta ante novedades por parte del troyano Faketoken que puedan atacar a nuevas geografías. 

.


¿Te ha gustado? Comparte en tus comunidades sociales.

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo