Toddler: Robo de credenciales con overlays y registro de eventos


El pasado mes de enero de 2021 se descubrió una nueva familia de malware bancario no detectada anteriormente. Las muestras fueron encontradas en las plataformas de análisis de malware VirusTotal y Koodous.

Varios motores antimalware podían detectar desde primer momento estas aplicaciones como malware, debido principalmente a que utiliza las mismas estrategias que suelen utilizar otras familias de malware bancario para llevar a cabo el robo de credenciales bancarias, como Cerberus y Anubis Bankbot. De esta forma, gracias a las firmas pensadas para detectar estas familias ha sido posible que estos motores de análisis detecten la funcionalidad maliciosa y marquen como maliciosas las aplicaciones.

Como veremos más adelante, este nuevo banker no presenta gran diferencia con respecto al resto de troyanos bancarios que podemos encontrar en el mundo de los dispositivos Android. Y sigue las estrategias habituales de robo de credenciales, que están basadas en el uso de inyecciones web que presentan al usuario una WebView con una página web de phishing similar a la interfaz de inicio de sesión de la entidad afectada.

A continuación, se comentarán cuales son las posibles opciones de propagación que podrían haber utilizado los atacantes. También profundizaremos en el funcionamiento de este malware, incluyendo las técnicas de robo de credenciales además del robo de otra información presente en el dispositivo. Echa un vistazo al informe completo, descargándolo desde aquí:

toddler-cover-report-list_ES

Toddler: Robo de credenciales a través de overlays y del registro de eventos de accesibilidad

Toddler es un nuevo malware bancario para Android detectado por primera vez en el mes de enero de 2021. La técnica de robo de credenciales bancarias sigue siendo la misma que utilizan el resto de familias de malware bancario para Android.

Las inyecciones web de phishing mostradas como overlays tan pronto como se detecta la apertura de la aplicación bancaria afectada es la estrategia principal para robar las credenciales bancarias de sus víctimas. 

Además del robo de credenciales a través de overlays de phishing, Toddler también implementa el robo de credenciales a través del registro de eventos de accesibilidad, concretamente aquellos relacionados con los cambios producidos en los campos de texto que se muestran en la interfaz de inicio de sesión.

 

Publicado por David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.

Como solucionamos la presencia de Malware

Protección y Alerta contra la presencia de Malware

bugFraud es la solución directa para detectar y frenar el malware conocido y zero-day. El exhaustivo sistema de buguroo para clasificar el malware elimina los falsos positivos y evita los falsos negativos

¿CÓMO LO RESUELVE BUGUROO?

Solicita una demo

¿Quieres ver cómo te protege nuestra solución?

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

¿Te ha gustado? Comparte en tus comunidades sociales.