En el último mes se han detectado varias muestras de lo que parece ser un nuevo troyano bancario para Android. Esta posible nueva familia comparte ciertas similitudes con Cerberus y Eventbot, aunque no parece tratarse de ninguno de ellos debido a ciertas diferencias clave, como el cifrado de los datos enviados y recibidos del servidor de control y los comandos que pueden ejecutarse en el dispositivo a través del servidor.
Descartamos que pueda tratarse de una nueva iteración de alguna de estas dos familias, ya que no presenta una de las características más importantes y que dificulta el análisis: el cifrado y ofuscación de cadenas de texto.
En el caso de Eventbot hemos detectado recientemente muestras que incluso han dado un paso adelante en el cifrado y ofuscación de cadenas, como ya adelantamos en nuestro blog, por lo que no es posible que estas muestras sean una versión nueva de dicha familia.
No presenta novedades significativas frente al resto de familias de ‘bankers’ para Android, el robo de credenciales sigue el esquema habitual: inyecciones mostradas a través de ‘overlays’.
Tan pronto como el usuario abre la aplicación legítima del banco, o cualquier otra aplicación afectada de entidades no bancarias, el troyano detecta la apertura a través del servicio de accesibilidad que instala e inicia el ‘overlay’ con una web de phishing muy similar al formulario de inicio de sesión de la aplicación a la que está suplantando.
El robo de credenciales es la funcionalidad principal de esta familia, al igual que ocurre con otras familias de malware bancario para Android como pueden ser Cerberus, Anubis Bankbot, GINP o Eventbot.
Sin embargo, y al igual que la mayor parte de las familias, también se incluyen funcionalidades que van más allá del robo de credenciales, como es el robo de mensajes de texto recibidos y enviados, el envío de mensajes de SPAM a contactos o incluso funcionalidad de ‘flood’ de SMS utilizando en dispositivo infectado para colapsar un número de teléfono indicado por el atacante.