Eventbot: Novedades de Junio


Eventbot es el troyano bancario para Android más reciente, del cual ya hemos hablado anteriormente en un amplio informe en el que se exponía su funcionamiento y las novedades que introducía con respecto a otros ‘bankers’ para Android. 

En esta ocasión vamos a repasar varias novedades que se han encontrado en muestras recientes. Al parecer sus desarrolladores son, junto a los desarrolladores de Cerberus, de los más activos en los últimos meses.

En el caso de Evenbot, las novedades no las encontramos en la lista de entidades y aplicaciones afectadas, ya que esta se mantiene igual.

Las principales novedades las encontramos en el apartado técnico, concretamente en el apartado de ofuscación, ya que los atacantes parecen estar interesados en estos momentos en hacer el análisis de este malware lo más complejo posible.

La novedad que más llama la atención es la ofuscación de cadenas, que es diferente en cada una de sus dos etapas (la de dropper y la del propio ‘payload’ que implementa el malware).

La ofuscación de cadenas en la segunda etapa, es algo más compleja que en la primera, utilizando como clave de descifrado los nombres de las funciones que llaman a la función de descifrado, algo poco común en este tipo de malware.

Además de la ofuscación de cadenas, destaca una mejora en el servidor de control, que ahora hace más complicado la visualización de inyecciones web en caso de que no se realicen suficientes peticiones al mismo, lo que impide visualizar el contenido si no utilizamos un dispositivo infectado durante un tiempo mínimo.

eventbot-update-jun-03


Funcionamiento

Antes de comenzar con los detalles de las novedades, vamos a realizar un breve repaso por las funcionalidades que incluye este troyano bancario y como trata de robar las credenciales bancarias de sus víctimas. Puede encontrar un análisis más profundo nuestro informe sobre Evenbot.

El esquema de robo de credenciales que sigue este troyano es el esquema habitual en el mundo de ‘bankers’ para Android. Se utiliza un servicio de accesibilidad, solicitando dichos permisos al usuario, de forma que la aplicación maliciosa recibe en tiempo real todos los eventos generados por el usuario.


Entre los eventos que puede recibir encontramos eventos de interacción con la interfaz, como ‘toques’ en diferentes elementos de la pantalla (botones, campos de texto, etc), o cambios en campos de texto mientras el usuario escribe.



Los troyanos bancarios utilizan generalmente los eventos recibidos en el servicio de accesibilidad para detectar la apertura de aplicaciones por parte del usuario, permitiendo al malware abrir rápidamente una ‘WebView’ que se muestra delante de la aplicación legítima de la entidad.

En dicha vista se carga una web de ‘phishing’ con el formulario de inicio de sesión de la entidad, lo que hace pensar al usuario que se trata del formulario legítimo y que debe introducir sus credenciales para continuar.

A este esquema de robo habitual en el malware bancario para Android, Eventbot añade un esquema nuevo: el robo de credenciales a través de la escucha de eventos de cambio de valor en los campos de texto.

De esta forma, mientras el usuario introduce sus credenciales en el formulario legítimo, el malware puede obtener lo eventos de cambio y robar de forma exitosa las credenciales.

 

Novedades de Junio

En las novedades detectadas en las nuevas muestras de junio no se encuentra un incremento de entidades afectadas, esta lista permanece sin cambios.

Sin embargo, los desarrolladores de Eventbot parecen estar poniendo sus esfuerzos en complicar todo lo posible las tareas de análisis y detección de sus nuevas versiones. Para ello, han introducido dos novedades clave que dificultan tanto el análisis como la detección.

La primera de las novedades y la más importante es la inclusión de ofuscación de cadenas. En versiones anteriores todas las cadenas de texto podían verse en claro, pudiendo ver incluso la URL del servidor de control al que este troyano se conecta para enviar y recibir datos.

Actualmente estas cadenas se encuentran cifradas, y en función de la fase en la que se encuentre presenta diferentes formas de cifrado.

El código del APK inicial, que actúa como ‘dropper’ desempaquetando el ‘payload’ malicioso y ejecutandolo, utiliza una función de descifrado basado en operaciones XOR, que como podemos observar, se realizan con el caracter ‘?’ y la longitud de la cadena.

eventbot-update-jun-01

Cifrado de cadenas en la primera etapa>

Pero la parte más interesante de la ofuscación de cadenas viene en la segunda etapa, una vez que se desempaqueta el ‘payload’ (un fichero DEX que implementa toda la funcionalidad del malware), éste se comienza a ejecutar.

Si analizamos el fichero DEX obtenido podemos observar que se utiliza una estrategia de cifrado muy similar, pero que utiliza como claves de descifrado el nombre de la clase y método que llama a la función de descifrado.

eventbot-update-jun-02

Función de descifrado de cadenas de la segunda etapa

Como podemos observar en la imagen, el malware utiliza los elementos ‘StackTraceElement’ de Java para obtener una traza de la pila de llamadas y así obtener el nombre de la clase y la función que ha llamado a la función de cifrado.

A continuación, utiliza esta información para descifrar la cadena utilizando operaciones XOR. Es la primera vez que encontramos un malware bancario para Android que utilice esta forma de cifrar las cadenas.

Otra de las novedades tiene lugar en el servidor de control, que parece haber recibido mejoras con el fin de impedir la visualización de las inyecciones web si no se ha registrado antes un dispositivo válido y si no se ha interactuado con él lo suficiente.

De esta forma es más complicado que el registrante de dominio o el ‘hosting’ detecte un uso fraudulento de sus servicios y suspenda la actividad.

 

Conclusiones

Eventbot es uno de los ‘bankers’ para Android más reciente, y uno de los más activos a nivel de desarrollo. Los atacantes parecen estar introduciendo novedades poco a poco, y en este caso nos encontramos con novedades que se centran principalmente en dificultar la detección y análisis de nuevas muestras.

Será interesante mantener esta familia de malware en el radar para detectar nuevas versiones con interesantes novedades que pueden venirse en un futuro, tanto a nivel técnico y de funcionalidad como a nivel de soporte de nuevas entidades para el robo de credenciales.

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
Te recomendamos que leas...

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo