Imagen: Getty Images/iStockphoto/Kirill_Savenko

El malware móvil se está volviendo cada vez más poderoso contra las aplicaciones bancarias y financieras, especialmente en los sistemas operativos Android. Ahora, la investigación de Cyble revela que se ha lanzado una nueva versión del malware móvil Aberebot, denominado Escobar.

Una versión de este malware ha sido encontrado en la naturalezahacerse pasar por McAfee usando la marca comercial en el nombre de archivo McAfee9412.apk y también usando el logotipo de McAfee como señuelo (Figura A). Este fragmento de código puede robar casi todo del teléfono que infecta, incluidos varios códigos de autenticación de Google Authenticator.

Figura A

Figura de Escobar A.
Primer informe sobre el malware móvil Escobar. Fuente: Gorjeo
Índice

Una inversión costosa para los ciberdelincuentes, al parecer

Cyble Research Labs expuso una oferta del desarrollador detrás de Escobar publicada en la web oscura, que muestra que actualmente es posible alquilarlo por $ 3,000 por mes, y una vez que esté fuera de la versión beta, pasará a $ 5,000 por mes. El desarrollador insiste en el aspecto beta y la posibilidad de errores, por lo que solo lo alquilan a cinco clientes (Figura B).

Figura B

Figura de Escobar b.
El desarrollador de malware Escobar anuncia el producto. Fuente: Cyble

Il s'agit d'un modèle commercial intéressant, car le développeur peut demander à des personnes d'essayer, d'exécuter et d'utiliser le logiciel malveillant et de fournir d'éventuels commentaires sur les bogues, tout en en faisant de l 'dinero. Teniendo en cuenta el precio de la versión beta, uno esperaría que los clientes de este malware fueran ciberdelincuentes experimentados que confíen en su capacidad para monetizar rápidamente el malware.

El desarrollador no expone el vector de infección. Si estuviera disponible directamente a través de una tienda de aplicaciones legítima, esperaríamos que el ciberdelincuente escribiera al respecto, ya que aumentaría el valor del malware. Cyble menciona que, según su investigación, "estos tipos de malware solo se distribuyen a través de fuentes distintas a Google Play Store".

La versión anterior del malware, denominada Aberebot, apareció por primera vez a mediados de 2021 y ya se ha dirigido a más de 140 entidades financieras en 18 países, lo que demuestra que el desarrollo de este malware está activo.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Características de Escobar

En una nota interesante, el desarrollador escribe al respecto: "El malware no funciona en Xiaomi MIUI 11 y superior porque la interfaz de usuario no permite que los servicios en segundo plano inicien actividades (¡así es como funcionan las inyecciones)!"

Como se mencionó, la versión de Escobar que se encuentra en la naturaleza parece estar haciéndose pasar por McAfee (Figura C).

Figura C

Figura de Escobar c.
El malware utiliza el logotipo y la marca de McAfee. Fuente: Cyble

El malware necesita 25 permisos diferentes del usuario, de los cuales actualmente abusa de 14. Puede:

  • Recopilar la ubicación del dispositivo
  • Recopilar datos de contacto (números de teléfono, direcciones de correo electrónico)
  • Recoger mensajes de texto
  • Enviar SMS a un número de teléfono específico o a todos los contactos
  • Recopilar registros de llamadas
  • Robar registros de claves de aplicaciones
  • Robar archivos multimedia
  • Grabación de audio
  • Use el visor VNC para controlar de forma remota el dispositivo infectado
  • Tomar fotos
  • Inyectar URL
  • Instalar/desinstalar otras aplicaciones
  • Robo de códigos de autenticación de Google
  • eliminarse a sí mismo

Toda la información robada y recopilada se envía directamente a un servidor de comando y control.

Malware financiero

Al igual que otros troyanos bancarios, Escobar superpone formularios de inicio de sesión falsos en la pantalla del teléfono para engañar al usuario para que proporcione sus credenciales para aplicaciones de banca en línea u otros sitios web de orientación financiera.

Un aspecto particular de este malware que lo hace formidable es que también roba códigos de Google Authenticator, lo que abre nuevas oportunidades de fraude para el atacante que usa el malware y ayuda a eludir 2FA (autenticación de dos factores).

Si el usuario del teléfono usa SMS o Google Authenticator como método 2FA, el atacante podría pasar por alto ambos.

VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (Premium de TechRepublic)

Cómo prevenir la infección por malware

Para protegerse del malware móvil, es importante:

  • Instale aplicaciones de seguridad integrales en su dispositivo para protegerlo.
  • Evite hacer clic en cualquier enlace que llegue a su teléfono móvil, independientemente de la aplicación que use, si proviene de una fuente desconocida.
  • Evite las aplicaciones desconocidas.
  • Nunca descargue aplicaciones de terceros o fuentes no confiables.
  • Verifique los permisos al instalar una aplicación. Las aplicaciones deben solicitar permisos solo para las API necesarias. Tenga mucho cuidado con las aplicaciones que solicitan privilegios de procesamiento de SMS.
  • Tenga mucho cuidado con las aplicaciones que solicitan actualizaciones inmediatamente después de la instalación. Se supone que una aplicación descargada de Play Store es la última versión. Si la aplicación solicita permiso de actualización la primera vez que se ejecuta inmediatamente después de la instalación, es sospechoso y puede ser una señal de malware que intenta descargar más funciones.
  • Habilitar 2FA. Si es posible, utilice Google Authenticator o SMS en un dispositivo diferente al utilizado para cualquier acción financiera. Este dispositivo debería estar a salvo de malware. De esta manera, incluso con las credenciales robadas en la mano, un atacante no podrá eludir la solicitud 2FA.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.