ThieftBot: La versión de BlackRock que afecta a entidades turcas


En las últimas semanas se ha hecho público el código del troyano bancario para Android Cerberus, sobre el que ya hemos hablado en varias ocasiones.

Introducción

A finales de julio hicimos público un informe en el que exponíamos nuestro análisis sobre un nuevo troyano bancario para Android que compartía ciertas similitudes con otras familias populares de malware bancario para Android como Cerberus y Eventbot. 

En el momento de realizar nuestro análisis no se había bautizado a este nuevo banker, pero finalmente la comunidad de analistas lo ha acabado bautizando como BlackRock.

Como ya comentamos en nuestro informe, este nuevo malware, aunque comparte similitudes a nivel de protocolo y funcionalidad con respecto a Cerberus y Eventbot, también se distancia de ellos en ciertos aspectos como la protección frente análisis. Ya que ni siquiera ofusca o cifra las cadenas de texto, algo que es básico en los otros dos.

Después de ser bautizado y reconocido por la comunidad de analistas han aparecido nuevas muestras muy similares a las de BlackRock, pero con ligeras diferencias. Una de las más evidentes la encontramos en la lista de entidades afectadas, ya que esta variante afecta únicamente a entidades de Turquía.

Los investigadores que detectaron esta nueva versión turca llamaron ThiefBot a esta, aunque en realidad se trataba de una versión un tanto especial de BlackRock destinada al mercado turco. A continuación vamos a introducir las funcionalidades que nuevas y diferencias que existen entre ambas versiones o variantes.

BlackRock vs ThiefBot

Tal y como se ha introducido anteriormente, la principal diferencia la encontramos en la lista de entidades afectadas, que en BlackRock abarca entidades de diferentes países como España, Italia, Francia, Alemania, Perú o Chile, entre otros. En el caso de ThiefBot encontramos únicamente inyecciones para entidades turcas.

La reducida lista nos indica que se trata de una versión específica desarrollada por los atacantes (probablemente diferentes a los autores de BlackRock) para infectar usuarios turcos y robarles sus credenciales.

Antes de nada, debemos recordar que ni BlackRock ni ThiefBot son troyanos desarrollados de cero, sino que están basados en el código fuente público de Xerxes, un troyano bancario que a su vez estaba basado en otro troyano bancario anterior, LokiBot. Este es el principal motivo por el que ambos son prácticamente iguales a excepción de varios detalles.

Para comenzar, ambos troyanos utilizan el mismo protocolo basado en peticiones HTTP al servidor de control. Los comandos disponibles para ambos bankers son prácticamente los mismos, excepto uno de ellos: ReInjection.

Dicho comando es utilizado para descargar un fichero comprimido con todas las inyecciones de todas las entidades afectadas.

ThiefBot-banker-01

Comando ReInjection que descarga las inyecciones del C2


Dicho fichero ZIP contiene separadas por carpetas las inyecciones de cada entidad y aplicación afectada. Esto nos lleva a otra diferencia, y es que en el caso de BlackRock la lista de entidades viene incluida en el propio código de la aplicación, almacenada en una variable.

Sin embargo, en el caso de ThiefBot no hay ninguna lista de entidades, en su lugar se utiliza directamente el ZIP descargado y se itera sobre los directorios para determinar si una app está afectada o no.

ThiefBot-banker-02

Código que itera los directorios de inyecciones para determinar si debe o no mostrar una de ellas

Este funcionamiento impide que los analistas o un sistema automatizado de análisis pueda obtener la lista de entidades afectadas directamente, en su lugar debe descargar el ZIP y procesar su contenido.

Este esquema es similar a cuando otras familias solicitan al servidor de control la lista de entidades o la configuración del troyano. 

A excepción de la reducida lista de entidades y el esquema de funcionamiento basado en descargar un fichero comprimido y comprobar las inyecciones disponibles, el resto de funcionamiento es el mismo para ThiefBot y para BlackRock.

Ambos soportan prácticamente los mismos comandos. Y ambos basan el robo de credenciales en los ‘overlays’ con inyecciones web de phishing.

ThiefBot-banker-03

Lista de comandos implementados en ThiefBot

 

Conclusiones

En este caso nos encontramos ante una variante de BlackRock, o más bien Xerxes, que ha estado utilizándose en ataques dirigidos a usuario turcos. Al parecer los atacantes estaban interesados en la obtención de credenciales bancarias de ciudadanos turcos y por ello han incluido únicamente inyecciones para ciertas entidades de origen turco.

 Los autores que están detrás de esta campaña no parecen ser los mismos que han estado desplegando las campañas de BlackRock en los últimos meses, sino que lo más probable es que se trate de grupos diferentes con intereses diferentes, al menos en cuanto a las entidades seleccionadas, ya que el interés con respecto al robo de credenciales es el mismo.

Lo que ha ocurrido con estos dos troyanos bancarios es lo que suele ocurrir con el malware para el que se hace público el código fuente. Una vez público, cualquiera puede utilizarlo como base de sus propias creaciones, dando lugar a nuevas versiones y variantes.

Recientemente se ha publicado el código del troyano bancario Cerberus, por lo que es cuestión de tiempo que ocurra lo mismo que ha ocurrido con BlackRock y ThiefBot, y comiencen a aparecer nuevas versiones, variantes e incluso familias a partir de las modificaciones de otros desarrolladores.

 


Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

 

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo