Imagen: iStockphoto/solarseven

En septiembre de 2020, ThreatFabric expuso un malware móvil basado en Android llamado "Alien" que tenía capacidades sorprendentes, como proporcionar a los atacantes acceso remoto, controlar mensajes SMS, robar notificaciones, instalar o eliminar aplicaciones y recopilar datos en el teléfono infectado. .

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Desde entonces, este malware se actualizó y ahora brinda capacidades de troyano bancario a los ciberdelincuentes que lo controlan, según lo informado por ThreatFabric. El nuevo malware se llama Xenomorph.

Índice

De alienígena a xenomorfo

Varios elementos han llevado a los investigadores de ThreatFabric a creer que el malware Xenomorph es una evolución de Alien.

La primera pista es que la misma página HTML se utiliza para engañar a las víctimas para que otorguen privilegios de Servicios de Accesibilidad, pero muchas otras familias la han utilizado.

Más intrigante, los investigadores mencionan que "el estilo de denominación de variables utilizado por Xenomorph recuerda mucho a Alien, aunque potencialmente incluso más detallado", y que "el nombre real del archivo de preferencias compartidas utilizado para almacenar la configuración de Xenomorph: el archivo se llama anillo0.xml”.

De hecho, ring0 es el apodo del desarrollador del malware Alien original (Figura A).

Figura A

Imagen: Threat Fabric. Una publicación de pseudo ring0 en un foro de ciberdelincuencia y la referencia en el código.

Además, varias cadenas y nombres de clases peculiares son visibles tanto en el código Alien como en el Xenomorph (Figura B).

Figura B

Imagen: Threat Fabric. Cadenas de registro idénticas en código Alien y Xenomorph.

El malware Alien tiene más capacidades integrales que Xenomorph, que está mucho más dirigido al robo de información bancaria.

Uno pensaría que el desarrollador de Alien decidió crear un malware más específico que solo se centraría en el robo financiero.

Infecciones por xenomorfos

Si bien Google se esfuerza por combatir el malware en su Play Store, los ciberdelincuentes aún encuentran formas de eludirlo y distribuir su malware de esta manera.

Una aplicación de Play Store, denominada "Fast Cleaner", cuyo propósito descrito es acelerar el dispositivo, tiene capacidades de goteo: descarga, suelta y ejecuta contenido malicioso (Figura C).

Figura C

Imagen: Threat Fabric. La aplicación Fast Cleaner que descarga e instala Xenomorph en segundo plano.

Según los investigadores, la aplicación Fast Cleaner ha descargado e instalado varios programas maliciosos diferentes en el pasado, las familias de malware ExobotCompact.D y Alien.A. Pero luego también comenzó a descargar e instalar Xenomorph.

Habilidades de xenomorfo

Xenomorph es capaz de implementar ataques de superposición, que consisten en colocar una ventana encima de una aplicación legítima, para solicitar al usuario las credenciales.

El malware también tiene la capacidad de interceptar notificaciones, administrar SMS y, por lo tanto, eludir la autenticación de dos factores de SMS.

Como una capacidad común dentro del malware, Xenomorph puede actualizarse a sí mismo o su referencia de servidor de comando y control.

El troyano bancario también está desarrollado con un modelo muy modular: es fácil agregarle nuevas funciones. De hecho, ya se implementaron más funciones en el código, pero aún no se utilizan: las capacidades de registro extendidas podrían usarse en el futuro y permitir que el malware recopile mucha más información sobre el uso del dispositivo y su usuario.

El ataque de superposición

Como se señaló, Xenomorph tiene la capacidad de implementar ataques en capas.

Para realizar el ataque superpuesto, el código de Xenomorph contiene una lista de aplicaciones bancarias o financieras que activarán la pantalla superpuesta del malware. Esta pantalla le pedirá al usuario sus datos. Un usuario no cauteloso podría proporcionar a los atacantes sus credenciales (Figura D) o información de la tarjeta de crédito.

Figura D

Imagen: Threat Fabric. La pantalla de ataque de superposición de Xenomorph le pide al usuario la información de su tarjeta de crédito.

Objetivos xenomorfos

La lista de objetivos superpuestos devueltos por el troyano bancario incluye objetivos de España, Italia, Bélgica y Portugal, pero también billeteras de criptomonedas y servicios de correo electrónico (Figura E).

Figura E

Imagen: Threat Fabric. Aplicaciones dirigidas.

Los investigadores han proporcionado una lista completa de aplicaciones específicas en el informe.

Cómo protegerse del xenomorfo

Para protegerse contra Xenomorph y otro malware móvil, se pueden tomar varias acciones:

  • Evite las tiendas desconocidas. Las tiendas desconocidas generalmente no tienen un proceso de detección de malware, a diferencia de Google Play Store. No instale software en su dispositivo Android de fuentes no confiables.
  • Este no es el caso de Xenomorph, pero puede ser útil para protegerse contra otro malware móvil: reinicie con frecuencia. Algunos programas maliciosos altamente sigilosos no tienen mecanismos persistentes para no ser detectados, por lo que reiniciar con frecuencia puede limpiar su dispositivo de esta amenaza.
  • Verifique cuidadosamente los permisos solicitados al instalar una aplicación. Las aplicaciones solo deben solicitar permisos para las API necesarias. Antes de instalar una aplicación de Google Play Store, desplácese hacia abajo en la descripción de la aplicación y haga clic en Permisos de la aplicación para verificar lo que solicita. Los usuarios deben tener mucho cuidado cuando una aplicación solicita permiso para administrar SMS. Por ejemplo, una aplicación más limpia no debería solicitar este privilegio, que pueden utilizar los troyanos bancarios como Xenomorph para eludir 2FA que utiliza SMS.
  • Tenga en cuenta que las solicitudes de actualización inmediatas después de la instalación son sospechosas. Se supone que una aplicación descargada de Play Store es la última versión. Si la aplicación solicita permiso de actualización en la primera ejecución, inmediatamente después de la instalación, es sospechosa.
  • Compruebe el contexto de la aplicación. ¿La aplicación es la primera de un desarrollador? ¿Tiene muy pocas reseñas, tal vez solo reseñas de cinco estrellas?
  • Use aplicaciones de seguridad en su dispositivo Android. Se deben instalar aplicaciones de seguridad integrales en su dispositivo para protegerlo.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.