Wroba: Malware bancario se propaga por EEUU a través de SMS


Se han encontrado nuevos hallazgos de este troyano en teléfonos inteligentes de usuarios de EEUU que hacen pensar en una campaña dirigida a expandir el número de afectados en esta zonas.

Introducción

Desde su aparición en 2010, el troyano de banca móvil Wroba ha afectado a usuarios de teléfonos inteligentes de diferentes partes del mundo, especialmente de la zona APAC (Asia – Pacífico).

wroba-banking-malware-usa-01

Distribución geográfica de los ataques durante 2015 - 2016. Fuente Kaspersky

Sin embargo, últimamente los delincuentes han ampliado sus objetivos y, a juzgar por los hallazgos encontrados, parece ser que han expandido su campaña de malware en EEUU.

Este troyano, que nació como un troyano bancario específico para teléfonos inteligentes con sistemas operativos Android, es capaz de robar información de archivos y contraseñas, recolectar datos financieros de sus víctimas, y enviar mensajes de texto SMS a los contactos que encuentra en el teléfono de la víctima con el fin de auto propagarse de forma que aumenten sus probabilidades de éxito.

Pero esto no es todo, también se han detectado intentos de ataque por parte de los operadores de este malware a usuarios que utilizan terminales más allá de Android. Concretamente en 2018 se encontraron servidores de control en los que se distribuían muestras para Android, pero que al ser visitadas por usuarios de iOS, estos eran redirigidos a una página web con phishing para robar las credenciales de sus cuentas de Apple.

 

¿Cómo funciona el malware bancario Wroba?

Según investigadores de Kaspersky, la campaña que ha estado afectando a usuarios de EEUU se difunde a través de falsos mensajes de texto relativos al envío de paquetería. Como veremos a continuación, el funcionamiento es sencillo y muy popular.

El texto del SMS contiene un enlace que indica que el paquete ha sido entregado e invita al usuario a hacer clic en el mismo para revisarlo y poder recogerlo. Esta técnica es sobradamente conocida, y es usada para lograr los objetivos de muchos otros actores en el ámbito de la ciberdelincuencia, ya que, frente a otras menos eficientes, puede contar con una elevada tasa de éxito.

Tras el mensaje, el flujo de acciones que se suceden al hacer clic en el enlace del mensaje de texto recibido, difiere según el sistema operativo del teléfono afectado. Si se trata de un teléfono Android, los usuarios serán redirigidos a un sitio web malicioso que mostrará una alerta a los mismos indicando que su navegador está desactualizado y la necesidad de actualizarlo cuanto antes. Al pulsar en “Aceptar”, comenzará la descarga de la aplicación maliciosa, cuyo análisis trataremos en el siguiente apartado.

Sin embargo, para los usuarios de iOS el método es algo diferente. Wroba ha sido programado por sus creadores de forma que cuando se trata de un teléfono iPhone, al pulsar en el enlace para comprobar el envío del paquete, los usuarios son redireccionados a una página de phishing que simula la página de inicio de sesión de ID de Apple, en un intento de recopilar las credenciales de sus víctimas. En este caso, el malware no se instalaría, únicamente trataría de robar información.


Análisis del malware bancario Wroba

Al analizar una aplicación descargada en dispositivos Android se localizan varios hallazgos. El primero de ellos, una etiqueta “Chrome” que es usada para hacerse pasar por el navegador legítimo, no tratándose de él como se puede ver al fijarnos en el nombre del paquete.

En cuanto a la pantalla de instalación, al comprobarla se observa que intenta suplantar al navegador Chrome, usando también el icono de dicha aplicación para hacerlo más creíble.

wroba-banking-malware-usa-02

Manifest file

En cuanto a la estructura del APK, además del esquema típico que podemos encontrar en aplicaciones para Android, se detecta un archivo de nombre aparentemente aleatorio dentro de la carpeta assets. Una investigación del mismo y el análisis de su código, termina llevándonos a la carga útil que finalmente es un troyano bancario de la familia Wroba.

wroba-banking-malware-usa-03

Directorio sospechoso

Respecto a las capacidades de este malware, encontramos varias. Entre ellas la captura y monitoreo de mensajes SMS entrantes y salientes, o la capacidad de propagarse vía SMS mediante el envío de mensajes de phishing a todos los contactos del teléfono.

 

wroba-banking-malware-usa-04

Permisos del APK analizado.

Hash: ccdc5c71c18709cea46e8dce04f985e19c054abfcb19a7ee6d875a09e3aa39b1

Por último, y es aquí donde su funcionalidad como troyano bancario aparece, Wroba es capaz de comprobar los nombres de los paquetes de las aplicaciones bancarias instaladas en Android y de superponerlos por otros propios, lo cual le permitirá la captura de credenciales de los usuarios afectados. Esta estrategia es la conocida técnica de ‘overlays’, de la que ya hemos hablado en ocasiones anteriores.

 

Conclusiones

Wroba lleva activo desde 2010, y desde entonces su enfoque principal han sido usuarios de la región APAC. Sus desarrolladores se han centrado en el robo de cuentas bancarias, así como de contraseñas y otros datos sensibles enviados por los bancos para la autenticación del cliente.

Recientemente se encontraron nuevos hallazgos de este troyano en teléfonos inteligentes de usuarios de EEUU que hacen pensar en una campaña dirigida a expandir el número de afectados en estas zonas.

Es por ello que debemos estar atentos a novedades sobre este malware ya que, en una nueva estrategia de los ciberdelincuentes, sería posible que siguiera expandiéndose por otros continentes.


Comprueba como puede ayudarte nuestra solución a resolver los problemas de fraude online de tu empresa, solicita gratuitamente una DEMO ahora y te explicamos en detalle.

Solicita una DEMO

 

 

Publicado por David García

In his more than 9-year professional career, he has been involved in multiple projects, the most important being in the fields of managed security, anti-fraud and ethical hacking services, and malware analysis. He has contributed his know-how and security-related improvements to a wide variety of fraud and vulnerability analysis products. He currently oversees the smooth running of our different products and researches current fraud developments in order to showcase buguroo overseas as well as providing the development department with feedback on the latest malware and cybercriminal trends.


¿Te ha gustado? Comparte en tus comunidades sociales.

 
Te recomendamos que leas...
 

¿Necesitas reducir el fraude online de tu banco?

Descubre nuestra visión holística aplicada a la detección del fraude online

Solicita una demo