Imagen: Jackie Niam/Adobe Stock

Mientras rastreaban el malware de banca móvil FluBot, los investigadores de F5 Labs descubrieron la nueva amenaza Malibot dirigida a teléfonos Android. Malibot tiene una serie de características y habilidades que lo convierten en una amenaza importante a considerar.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

Índice

¿Cómo se distribuye Malibot?

Actualmente, los ciberdelincuentes distribuyen Malibot a través de dos canales diferentes.

El primer método de distribución es a través de la web: los estafadores han creado dos sitios web diferentes, llamados "Mining X" y "TheCryptoApp" (Figura A y Figura B).

Figura A

Sitio web de CryptoApp creado por ciberdelincuentes para propagar Malibot.

Figura B

Sitio web MiningX creado por ciberdelincuentes para propagar Malibot.

La campaña de CryptoApp se hace pasar por una aplicación de seguimiento de criptomonedas legítima. El usuario solo se infectará y recibirá el enlace del malware si navega desde un teléfono Android. Navegar desde cualquier otro dispositivo dará como resultado que el usuario reciba un enlace legítimo a TheCryptoApp genuino en Google Play Store. Se proporciona un enlace de descarga directa para usuarios de Android fuera de Google Play Store.

Al igual que con la campaña de distribución Mining X, al hacer clic en el enlace de descarga en el sitio web se abre una ventana que contiene un código QR para descargar la aplicación.

El segundo canal de distribución es a través de smishing, que llega directamente a los teléfonos Android: Malibot tiene la capacidad de enviar mensajes SMS a pedido y, una vez que recibe dicho comando, envía mensajes de texto a una lista de teléfonos proporcionada por el servidor de comando y control de Malibot.

¿Qué datos roba Malibot?

Malibot está diseñado para robar información como datos personales, credenciales y conocimientos financieros. Para lograr este objetivo, es capaz de robar cookies, credenciales de autenticación de múltiples factores y billeteras criptográficas.

Cuentas de Google

Malibot tiene un mecanismo para recopilar las credenciales de la cuenta de Google. Cuando la víctima abre una aplicación de Google, el malware abre una WebView en una página de inicio de sesión de Google, lo que obliga al usuario a iniciar sesión y no le permite hacer clic en el botón Atrás.

Además de recopilar las credenciales de la cuenta de Google, Malibot también es capaz de eludir el 2FA de Google. Cuando el usuario intenta iniciar sesión en su cuenta de Google, se muestra una pantalla de aviso de Google, que el malware valida inmediatamente. El código 2FA se envía al atacante en lugar del usuario legítimo, luego el malware lo recupera para validar la autenticación.

Múltiples inyecciones para servicios en línea seleccionados

El malware también proporciona la lista de aplicaciones del dispositivo infectado al atacante, lo que ayuda al atacante a saber qué aplicación puede ser interceptada por el malware para mostrar una inyección en su lugar. Una inyección es una página que se muestra al usuario que imita perfectamente una página legítima (Figura C).

Figura C

Imagen: Laboratorios F5. Inyectar para la empresa bancaria italiana Unicredit que muestra el malware.

Según F5 Labs, las inyecciones de Malibot están dirigidas a instituciones financieras en España e Italia.

Autenticación multifactor

Además del método utilizado para robar cuentas de Google, Malibot también puede robar códigos de autenticación de múltiples factores de Google Authenticator a pedido. Los códigos MFA enviados por SMS al teléfono móvil son interceptados por el malware y exfiltrados.

Monederos criptográficos

Malibot es capaz de robar datos de las billeteras de criptomonedas Binance y Trust.

El malware intenta obtener el saldo total de las billeteras de las víctimas para Binance y Trust y exportarlo al servidor C2.

En cuanto a la billetera Trust, Malibot también puede recopilar las frases iniciales de la víctima, lo que le permite al atacante transferir todo el dinero a otra billetera de su elección.

Fraude de SMS

Malibot puede enviar SMS a pedido. Aunque utiliza principalmente esta capacidad para propagarse a través de smishing, también puede enviar SMS Premium que cargan los créditos móviles de la víctima, si está habilitado.

¿Cómo obtiene Malibot el control del dispositivo infectado?

Malibot hace un uso intensivo de la API de accesibilidad de Android, que permite que las aplicaciones móviles realicen acciones en nombre del usuario. Al usar esto, el malware puede robar información y mantener la persistencia. Específicamente, protege contra la desinstalación y la eliminación de permisos mirando texto o etiquetas específicas en la pantalla y presionando el botón Atrás para evitar la acción.

Malibot: una amenaza muy activa

Los desarrolladores de Malibot quieren que no se detecte y persista en los dispositivos infectados el mayor tiempo posible. Para evitar que el sistema operativo lo elimine o lo ponga en pausa cuando está inactivo, el malware se define como un lanzador. Cada vez que se comprueba su actividad, inicia o despierta el servicio.

Algunas protecciones adicionales están contenidas en el malware, pero no se utilizan. Los investigadores de F5 encontraron una función para detectar si el malware se ejecuta en un entorno simulado. Otra característica no utilizada define el malware como una aplicación oculta.

Se acerca el objetivo de Mmore Malibot, EE. UU. ya podría ser alcanzado

Si bien la investigación de F5 Labs reveló objetivos en España e Italia, también encontró actividad en curso que puede insinuar que los ciberdelincuentes apuntan a ciudadanos estadounidenses.

Un dominio utilizado por el mismo hacker se hace pasar por el Servicio de Impuestos de EE. UU. y lleva a un sitio web "Trust NFT" (Figura D) ofreciendo descargar el malware.

Figura D

Nuevo sitio web de actor de amenazas que se hace pasar por la agencia tributaria de EE. UU. en el nombre de dominio, sin exponer para proteger al lector.

Otro sitio web que usa el tema COVID-19 en su nombre de dominio conduce al mismo contenido. Los investigadores esperan que los atacantes implementen más malware a través de estos nuevos sitios web en otras partes del mundo, incluido Estados Unidos.

Cómo protegerse de Malibot

El malware se distribuye solo desde sitios web creados por ciberdelincuentes y SMS. Actualmente no se transmite en ninguna plataforma Android legítima como Google Play Store.

Nunca instale una aplicación directamente descargable con un clic en un dispositivo Android. Los usuarios solo deben instalar aplicaciones de tiendas y plataformas de aplicaciones confiables y legítimas. Los usuarios nunca deben instalar aplicaciones desde un enlace que reciben por SMS.

Instale aplicaciones de seguridad integrales en el dispositivo Android para protegerlo de amenazas conocidas.

Al instalar una aplicación, los permisos deben verificarse cuidadosamente. Malware Malibot para permisos de mensajes de texto en el primer lanzamiento, lo que debería generar sospechas.

Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.