Nuevo Banker Android


En el último mes se han detectado varias muestras de lo que parece ser un nuevo troyano bancario para Android. Esta posible nueva familia comparte ciertas similitudes con Cerberus y Eventbot, aunque no parece tratarse de ninguno de ellos debido a ciertas diferencias clave, como el cifrado de los datos enviados y recibidos del servidor de control y los comandos que pueden ejecutarse en el dispositivo a través del servidor.

Descartamos que pueda tratarse de una nueva iteración de alguna de estas dos familias, ya que no presenta una de las características más importantes y que dificulta el análisis: el cifrado y ofuscación de cadenas de texto.

En el caso de Eventbot hemos detectado recientemente muestras que incluso han dado un paso adelante en el cifrado y ofuscación de cadenas, como ya adelantamos en nuestro blog, por lo que no es posible que estas muestras sean una versión nueva de dicha familia.

No presenta novedades significativas frente al resto de familias de ‘bankers’ para Android, el robo de credenciales sigue el esquema habitual: inyecciones mostradas a través de ‘overlays’.

Tan pronto como el usuario abre la aplicación legítima del banco, o cualquier otra aplicación afectada de entidades no bancarias, el troyano detecta la apertura a través del servicio de accesibilidad que instala e inicia el ‘overlay’ con una web de phishing muy similar al formulario de inicio de sesión de la aplicación a la que está suplantando.

El robo de credenciales es la funcionalidad principal de esta familia, al igual que ocurre con otras familias de malware bancario para Android como pueden ser Cerberus, Anubis Bankbot, GINP o Eventbot.

Sin embargo, y al igual que la mayor parte de las familias, también se incluyen funcionalidades que van más allá del robo de credenciales, como es el robo de mensajes de texto recibidos y enviados, el envío de mensajes de SPAM a contactos o incluso funcionalidad de ‘flood’ de SMS utilizando en dispositivo infectado para colapsar un número de teléfono indicado por el atacante.

 

android_banker_trojan_cover_ES

NEW BANKER ANDROID

Cada día se encuentran nuevas muestras de malware para Android, y frecuentemente se trata de muestras no vistas anteriormente, y que tampoco parecen tratarse de nuevas versiones de familias malware conocidas.

En este caso hemos analizado una de estas muestras que, al parecer, no se trata de ninguna familia conocida hasta la fecha, aunque sí que parece que sus desarrolladores se han fijado en otras familias existentes para desarrollar estas muestras.

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
Te recomendamos que leas...

¿Qué piensas sobre este tema?

Deja tus comentarios

 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo