Nuevas campañas propagan malware bancario vía Google Play

Este año hemos visto muchas campañas de malware diferentes que han tratado de comprometer a los usuarios con aplicaciones maliciosas que se distribuyen en Google Play, la tienda oficial para Android.
Aunque a menudo son eliminadas a pocos días de ser reportadas a Google, logran infectar a cientos o miles de usuarios antes de que esto ocurra. Todas las aplicaciones enviadas a Google Play son analizadas automáticamente para bloquear aquellas con comportamiento malicioso, pero las últimas campañas que vimos usan técnicas menos obvias, como un timer que retrasa la actividad maliciosa (en este caso dos horas) para evadir las detecciones automatizadas de Google.

Reconocimiento

Este artículo se basa en la investigación conjunta que hicimos con Avast y SfyLabs, que también han publicado sus respectivos análisis de este tema.
Malicious apps attempt
En octubre y noviembre de 2017 nos encontramos con dos nuevas campañas que usaban droppers; la primera para ejecutar un malware bancario, y para esta segunda, recientemente descrita aquí en WeLiveSecurity, añadiremos nuevos IoCs al final de este artículo.
Malicious apps attempt
Los droppers de las campañas previas eran mucho más sofisticados, ya que usaban los Servicios de Accesibilidad de Android para hacer clics en segundo plano y habilitar la instalación de aplicaciones desde fuentes desconocidas. Este nuevo dropper no tiene esa capacidad y depende de que el usuario tenga la descarga desde fuentes desconocidas ya habilitada.
Si no lo está, no podrá instalar el malware BankBot, por lo que el usuario no se verá amenazado. Si la opción está habilitada, se instalará el malware, que es básicamente el mismo que describió Trend Micro en septiembre.
Algo interesante es que, aunque el dropper de Tornado FlashLight (com.andrtorn.app) fue eliminado de la tienda, no es detectado por su mecanismo Google Play Protect.
Lo mismo sucede con el malware que descarga el dropper com.vdn.market.plugin.upd, lo que significa que la aplicación que funciona como dropper y el malware aún pueden instalarse desde ubicaciones de terceros y ejecutarse sin interferencias, a menos que el dispositivo ejecute un software de seguridad adecuado.
Malicious apps attempt

Análisis detallado

Cuando se inicia por primera vez el dropper, comprobará las aplicaciones instaladas contra una lista hardcodeada de 160 aplicaciones. Solo pudimos identificar 132 de ellas, ya que los nombres de los paquetes no están incluidos en el dropper, sino solo sus hashes.
La lista de paquetes a los que se tiene como blanco se ha mantenido igual desde la campaña descrita por Trend Micro. Si una o más de las aplicaciones listadas se instalan cuando se cierra la aplicación dropper, se iniciará el servicio con la funcionalidad del dropper.
Malicious apps attempt
El dropper ejecutará la misma verificación en el arranque del dispositivo y, si tiene éxito, también iniciará el servicio. El servicio solicitará primero permisos de administrador al usuario y, luego de obtenerlos, continuará con la rutina de descarga.
El APK de BankBot, que es el mismo para todos los ejemplos de dropper, se descarga desde hxxp://138.201.166.31/kjsdf.tmp. La descarga solo se desencadena dos horas después de que se hayan otorgado los derechos de administrador del dispositivo al dropper.
Malicious apps attempt
Una vez que se completa la descarga, el dropper tratará de instalar el APK, usando el mecanismo estándar de Android para instalar aplicaciones por fuera de Google Play. Además de requerir la habilitación de fuentes desconocidas, este método requiere que el usuario presione un botón para continuar la instalación.
Malicious apps attemptMalicious apps attempt
Mirando el nombre y el ícono del paquete para instalar, asumimos que los atacantes están tratando de hacer creer al usuario que se trata de una actualización de Google Play. Una vez que la instalación está terminada, el nuevo APK solicita los derechos de administrador del dispositivo y luego el ataque continúa.
Si la instalación de fuentes desconocidas no está habilitada, Android mostrará un mensaje de error y el proceso fallará.
Malicious apps attempt

¿Cómo evitar ser víctima de esta amenaza?

En primer lugar, siempre es bueno instalar aplicaciones que estén verificadas o sean de desarrolladores conocidos, y elegir la tienda oficial Google Play ya que la mayoría de los programas maliciosos se distribuyen principalmente en tiendas alternativas.
En segundo lugar, a menos que sepas exactamente lo que estás haciendo, no actives la opción de “fuentes desconocidas”. Si una aplicación o alguien en quien no confías te pide hacer esto, lo más probable es que esté relacionado con malware.
Pero, ¿y si quieres instalar una aplicación de Google Play, cómo saber que no es maliciosa? Para el usuario típico, recomendamos utilizar una solución de seguridad para detectar el malware detectado que aún no ha sido bloqueado por Google. Además, hay otras cosas que puedes controlar para disminuir el riesgo de infección.
Primero, asegúrate de que la aplicación tenga muchos usuarios y buenas críticas. La mayoría del malware no permanece mucho tiempo en la tienda y no tendrá muchos usuarios.
Luego, después de instalar la aplicación, toma nota de varias cosas: la mayoría de los programas maliciosos solicitarán convertirse en administradores del dispositivo (no otorgues este permiso, ya que se puede usar para evitar que se eliminen).
Otros tipos de malware pueden solicitar permisos para el servicio de accesibilidad, lo que permitiría simular la interacción del usuario con el dispositivo, para básicamente tomar el control. Otro indicador es si el ícono de la aplicación desaparece después de la primera vez que la inicias, ya que el malware generalmente hace esto para ocultarse.
Si ves que esto sucede, probablemente sea mejor hacer una copia de seguridad de tus datos y un restablecimiento a los valores de fábrica para asegurarte de que el malware se ha ido.

Campaña #1

IoCs

  
DroppersPackage name:SHA-256:
Tornado FlashLightcom.andrtorn.app89f537cb4495a50b0827 58b34e54bd1024463176d7d2f4a445cf859f5a33e38f
phxuwcom.sysdriver.andrd93e03c833bac1a29f49fa5c3060a04298e7811e4fb0994afc05a25c24a3e6dc
faczyfutcom.sysmonitor.service3a3c5328347fa52383406b6d 6ca31337442659ae8fafdff0972703cb49d97ac2
Lamp For DarkNesscom.wifimodule.sys138e3199d53dbbaa01db40742153775d54934433e999b9c7fcfa2fea2474ce8d
zqmfsx com.seafl.andrc1720011300d8851bc30589063425799e4cce9bb972b3b32b6e30c21ce72b9b6
Discounter com.sarniaps.deewbb932ca35651624fba2820d657bb10556aba66f15c053142a5645aa8fc31bbd0
Dropped
ynlfhgq
com.vdn.market.plugin.upd9a2149648d9f56e999bd5af599d041f00c3130fca282ec47430a3aa575a73dcd

C2

Todas las apps se comunican con 138.201.166.31

Campaña #2

IoCs

  
DroppersPackage name: SHA-256:
XDC Cleanercom.sdssssd.ramboostercc32d14cea8c9ff13e95d2a83135ae4b7f4b0bd84388c718d324d559180218fd
Spider Solitairecom.jkclassic.solitaire12334b6f5a294d4b0bee029c2840c3354ed814d0d751d00c9c3d48603ce1f22dae8b3
Classic Solitairecom.urbanodevelop.solitaireb98d3f4950d07f62f22b4c933416a007298f9f38bebb897be0e31e4399eb39c3
Solitairecom.jduvendc.solitaireb98d3f4950d07f62f22b4c933416a007298f9f38bebb897be0e31e4399eb39c3
Dropped malware xcuahcom.vdn.market.plugin.upd129e8d59f2e3a6f0ac4c98bfd12f9fb5d38176164ff5cf715e7e082ab33fffb6
Adobe Updatecom.hqzel.zgnlpufg3f71c21975d51e920f47f6 ec6d183c1c4c875fac93ce4eacc5921ba4f01e39d3

C2

Todos los droppers se comunican con 5.61.32.253. Los diferentes nombres de host son:
– 88820.pro
– 88881.pro
– 88884.pro
Las muestras de malware se comunican con 94.130.0.119 y 31.131.21.162.

Aplicaciones en la lista de objetivos

ar.nbad.emobile.android.mobilebank
at.bawag.mbanking
at.spardat.bcrmobile
at.spardat.bcrmobile
at.spardat.netbanking
au.com.bankwest.mobile
au.com.cua.mb
au.com.ingdirect.android
au.com.nab.mobile
au.com.newcastlepermanent
au.com.suncorp.SuncorpBank
ch.raiffeisen.android
com.EurobankEFG
com.adcb.bank
com.adib.mbs
com.advantage.RaiffeisenBank
com.akbank.android.apps.akbank_direkt
com.anz.SingaporeDigitalBanking
com.bankaustria.android.olb
com.bankofqueensland.boq
com.barclays.ke.mobile.android.ui
com.bbva.bbvacontigo
com.bbva.netcash
com.bendigobank.mobile
com.bmo.mobile
com.caisseepargne.android.mobilebanking
com.cajamar.Cajamar
com.cbd.mobile
com.chase.sig.android
com.cibc.android.mobi
com.citibank.mobile.au
com.clairmail.fth
com.cm_prod.bad
com.comarch.mobile
com.comarch.mobile.banking.bnpparibas
com.commbank.netbank
com.csam.icici.bank.imobile
com.csg.cs.dnmb
com.db.mm.deutschebank
com.db.mm.norisbank
com.dib.app
com.finansbank.mobile.cepsube
com.finanteq.finance.ca
com.garanti.cepsubesi
com.getingroup.mobilebanking
com.htsu.hsbcpersonalbanking
com.imb.banking2
com.infonow.bofa
com.ing.diba.mbbr2
com.ing.mobile
com.isis_papyrus.raiffeisen_pay_eyewdg
com.konylabs.capitalone
com.mobileloft.alpha.droid
com.moneybookers.skrillpayments
com.moneybookers.skrillpayments.neteller
com.palatine.android.mobilebanking.prod
com.pozitron.iscep
com.rak
com.rsi
com.sbi.SBIFreedomPlus
com.scb.breezebanking.hk
com.snapwork.hdfc
com.starfinanz.smob.android.sfinanzstatus
com.suntrust.mobilebanking
com.targo_prod.bad
com.tmobtech.halkbank
com.ubs.swidKXJ.android
com.unicredit
com.unionbank.ecommerce.mobile.android
com.usaa.mobile.android.usaa
com.usbank.mobilebanking
com.vakifbank.mobile
com.vipera.ts.starter.FGB
com.vipera.ts.starter.MashreqAE
com.wf.wellsfargomobile
com.ykb.android
com.ziraat.ziraatmobil
cz.airbank.android
cz.csob.smartbanking
cz.sberbankcz
de.comdirect.android
de.commerzbanking.mobil
de.direkt1822.banking
de.dkb.portalapp
de.fiducia.smartphone.android.banking.vr
de.postbank.finanzassistent
de.sdvrz.ihb.mobile.app
enbd.mobilebanking
es.bancosantander.apps
es.cm.android
es.ibercaja.ibercajaapp
es.lacaixa.mobile.android.newwapicon
es.univia.unicajamovil
eu.eleader.mobilebanking.pekao
eu.eleader.mobilebanking.pekao.firm
eu.inmite.prj.kb.mobilbank
eu.unicreditgroup.hvbapptan
fr.banquepopulaire.cyberplus
fr.creditagricole.androidapp
fr.laposte.lapostemobile
fr.lcl.android.customerarea
gr.winbank.mobile
hr.asseco.android.jimba.mUCI.ro
in.co.bankofbaroda.mpassbook
may.maybank.android
mbanking.NBG
mobi.societegenerale.mobile.lappli
mobile.santander.de
net.bnpparibas.mescomptes
net.inverline.bancosabadell.officelocator.android
nz.co.anz.android.mobilebanking
nz.co.asb.asbmobile
nz.co.bnz.droidbanking
nz.co.kiwibank.mobile
nz.co.westpac
org.banksa.bank
org.bom.bank
org.stgeorge.bank
org.westpac.bank
pl.bzwbk.bzwbk24
pl.bzwbk.ibiznes24
pl.ipko.mobile
pl.mbank
pt.bancobpi.mobile.fiabilizacao
pt.cgd.caixadirecta
pt.novobanco.nbapp
ro.btrl.mobile
src.com.idbi
wit.android.bcpBankingApp.activoBank
wit.android.bcpBankingApp.millennium
wit.android.bcpBankingApp.millenniumPL
www.ingdirect.nativeframe
 

Comentarios

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Diferencias entre mapa de calor, mapa de riesgos y matriz de riesgos