Usuarios de Android han sido apuntados una vez más por autores de malware luego de que se descubriera en la tienda de Google Play la presencia de 29 sigilosos troyanos bancarios para móviles disfrazados de apps para distintos usos.

Los creadores de malware continúan poniendo a prueba la atención de los usuarios de Android al infiltrar de manera camuflada troyanos bancarios para móviles dentro de la tienda Google Play. Recientemente, analizamos un conjunto de 29 sigilosos troyanos de este tipo que fueron descubiertos en la tienda oficial de Android entre agosto y principios de octubre de 2018; disfrazados como complementos para el dispositivo y limpiadores, administradores de batería y hasta apps de horóscopo.

A diferencia de la creciente prevalencia de apps maliciosas que se enfocan solamente en intentar suplantar la identidad de instituciones financieras legítimas y mostrar pantallas con falsas instancias de registro, las apps analizadas en esta oportunidad pertenecen a la categoría de sofisticado malware bancario para móviles con complejas funcionalidades y un fuerte enfoque en la sigilosidad.

Estos troyanos controlados de forma remota son capaces de afectar de manera dinámica cualquier aplicación que encuentren en el dispositivo de la víctima mediante formularios de phishing personalizados. Aparte de esto, pueden interceptar y redirigir mensajes de texto para evadir sistemas de doble factor de autenticación con base en SMS, interceptar registros de llamadas y descargar e instalar otras aplicaciones en los dispositivos comprometidos. Estas apps maliciosas fueron subidas en su mayoría bajo el nombre de diferentes desarrolladores, pero las similitudes en el código y un mismo servidor C&C sugieren que estas apps son obra de un solo atacante o grupo.

¿Cómo operaban estos troyanos bancarios?

Una vez ejecutadas, las apps pueden o bien mostrar un mensaje de error en el que afirman que han sido removidas debido a una incompatibilidad con el dispositivo de la víctima y luego proceden a esconderse de la vista del usuario, o la otra posibilidad es que ofrezcan la función que prometían (como mostrar el horóscopo).

Independientemente de cuál de las actividades antes mencionadas despliega cada una de estas apps, la principal función maliciosa está escondida en un payload cifrado ubicado en los assets de cada app.

Este payload es codificado en base64 y luego cifrados con un cifrado RC4 utilizando una llave hardcodeada. La primera fase de la actividad del malware es un dropper que inicialmente corrobora si existe la presencia de un emulador o de un sandbox. Si estos chequeos fallan, entonces descifra y libera un loader junto con un payload que contiene el actual malware bancario. Algunas de las apps que analizamos contienen más de una etapa de tales payloads cifrados.

La funcionalidad del payload final es la de suplantar apps bancarias instaladas en el dispositivo de la víctima, interceptar y enviar mensajes SMS, y descargar e instalar aplicaciones adicionales elegidas por el operador. La funcionalidad más significativa es que de manera dinámica el malware puede suplantar la identidad de cualquier aplicación instalada en el dispositivo de la víctima. Esto lo consigue mediante la obtención del código HTML de estas apps instaladas en el dispositivo y utilizando ese código para superponerse a la aplicación legítima con falsos formularios una vez que la app legítima es ejecutada, dándole a la víctima muy pocas chances de notar que hay algo sospechoso.

Fuente: WeLiveSecurity