Wroba: Malware bancario se propaga por EEUU a través de SMS


Se han encontrado nuevos hallazgos de este troyano en teléfonos inteligentes de usuarios de EEUU que hacen pensar en una campaña dirigida a expandir el número de afectados en esta zonas.

Introducción

Desde su aparición en 2010, el troyano de banca móvil Wroba ha afectado a usuarios de teléfonos inteligentes de diferentes partes del mundo, especialmente de la zona APAC (Asia – Pacífico).

wroba-banking-malware-usa-01

Distribución geográfica de los ataques durante 2015 - 2016. Fuente Kaspersky

Sin embargo, últimamente los delincuentes han ampliado sus objetivos y, a juzgar por los hallazgos encontrados, parece ser que han expandido su campaña de malware en EEUU.

Este troyano, que nació como un troyano bancario específico para teléfonos inteligentes con sistemas operativos Android, es capaz de robar información de archivos y contraseñas, recolectar datos financieros de sus víctimas, y enviar mensajes de texto SMS a los contactos que encuentra en el teléfono de la víctima con el fin de auto propagarse de forma que aumenten sus probabilidades de éxito.

Pero esto no es todo, también se han detectado intentos de ataque por parte de los operadores de este malware a usuarios que utilizan terminales más allá de Android. Concretamente en 2018 se encontraron servidores de control en los que se distribuían muestras para Android, pero que al ser visitadas por usuarios de iOS, estos eran redirigidos a una página web con phishing para robar las credenciales de sus cuentas de Apple.

 

¿Cómo funciona el malware bancario Wroba?

Según investigadores de Kaspersky, la campaña que ha estado afectando a usuarios de EEUU se difunde a través de falsos mensajes de texto relativos al envío de paquetería. Como veremos a continuación, el funcionamiento es sencillo y muy popular.

El texto del SMS contiene un enlace que indica que el paquete ha sido entregado e invita al usuario a hacer clic en el mismo para revisarlo y poder recogerlo. Esta técnica es sobradamente conocida, y es usada para lograr los objetivos de muchos otros actores en el ámbito de la ciberdelincuencia, ya que, frente a otras menos eficientes, puede contar con una elevada tasa de éxito.

Tras el mensaje, el flujo de acciones que se suceden al hacer clic en el enlace del mensaje de texto recibido, difiere según el sistema operativo del teléfono afectado. Si se trata de un teléfono Android, los usuarios serán redirigidos a un sitio web malicioso que mostrará una alerta a los mismos indicando que su navegador está desactualizado y la necesidad de actualizarlo cuanto antes. Al pulsar en “Aceptar”, comenzará la descarga de la aplicación maliciosa, cuyo análisis trataremos en el siguiente apartado.

Sin embargo, para los usuarios de iOS el método es algo diferente. Wroba ha sido programado por sus creadores de forma que cuando se trata de un teléfono iPhone, al pulsar en el enlace para comprobar el envío del paquete, los usuarios son redireccionados a una página de phishing que simula la página de inicio de sesión de ID de Apple, en un intento de recopilar las credenciales de sus víctimas. En este caso, el malware no se instalaría, únicamente trataría de robar información.


Análisis del malware bancario Wroba

Al analizar una aplicación descargada en dispositivos Android se localizan varios hallazgos. El primero de ellos, una etiqueta “Chrome” que es usada para hacerse pasar por el navegador legítimo, no tratándose de él como se puede ver al fijarnos en el nombre del paquete.

En cuanto a la pantalla de instalación, al comprobarla se observa que intenta suplantar al navegador Chrome, usando también el icono de dicha aplicación para hacerlo más creíble.

wroba-banking-malware-usa-02

Manifest file

En cuanto a la estructura del APK, además del esquema típico que podemos encontrar en aplicaciones para Android, se detecta un archivo de nombre aparentemente aleatorio dentro de la carpeta assets. Una investigación del mismo y el análisis de su código, termina llevándonos a la carga útil que finalmente es un troyano bancario de la familia Wroba.

wroba-banking-malware-usa-03

Directorio sospechoso

Respecto a las capacidades de este malware, encontramos varias. Entre ellas la captura y monitoreo de mensajes SMS entrantes y salientes, o la capacidad de propagarse vía SMS mediante el envío de mensajes de phishing a todos los contactos del teléfono.

 

wroba-banking-malware-usa-04

Permisos del APK analizado.

Hash: ccdc5c71c18709cea46e8dce04f985e19c054abfcb19a7ee6d875a09e3aa39b1

Por último, y es aquí donde su funcionalidad como troyano bancario aparece, Wroba es capaz de comprobar los nombres de los paquetes de las aplicaciones bancarias instaladas en Android y de superponerlos por otros propios, lo cual le permitirá la captura de credenciales de los usuarios afectados. Esta estrategia es la conocida técnica de ‘overlays’, de la que ya hemos hablado en ocasiones anteriores.

 

Conclusiones

Wroba lleva activo desde 2010, y desde entonces su enfoque principal han sido usuarios de la región APAC. Sus desarrolladores se han centrado en el robo de cuentas bancarias, así como de contraseñas y otros datos sensibles enviados por los bancos para la autenticación del cliente.

Recientemente se encontraron nuevos hallazgos de este troyano en teléfonos inteligentes de usuarios de EEUU que hacen pensar en una campaña dirigida a expandir el número de afectados en estas zonas.

Es por ello que debemos estar atentos a novedades sobre este malware ya que, en una nueva estrategia de los ciberdelincuentes, sería posible que siguiera expandiéndose por otros continentes.

Publicado por David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.

Como solucionamos la presencia de Malware

Protección y Alerta contra la presencia de Malware

bugFraud es la solución directa para detectar y frenar el malware conocido y zero-day. El exhaustivo sistema de buguroo para clasificar el malware elimina los falsos positivos y evita los falsos negativos

¿CÓMO LO RESUELVE BUGUROO?

Solicita una demo

¿Quieres ver cómo te protege nuestra solución?

Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

¿Te ha gustado? Comparte en tus comunidades sociales.