El malware para Android crece más cada
día, además se vuelve más peligroso y con un objetivo concreto: nuestro dinero.
Hemos encontrado un nuevo troyano bancario para Android del que además hemos
podido acceder al panel de la botnet que lo controla.
Nos hemos encontrado en Koodous con
una nueva muestra que parecía tener un comportamiento sospechoso, así que el
Departamento Antifraude de Hispasec ha procedido a realizar un análisis más
detallado.
¿A qué va a ser malware?
- Tras el análisis dinámico y estático hemos
comprobado que se trata de un troyano de evidente origen ruso que
monitoriza otras aplicaciones bancarias, de pago online y similares
instaladas en el dispositivo, con el objeto de capturar las credenciales
introducidas. Hemos llamado "Mazain" a este troyano por la
referencia a su autor ("by Maza-in") en el panel de la botnet.
- Rápidamente, en un primer vistazo en Koodous ya
resultan sospechosas tanto las "Actividades" como los
"Servicios" que la aplicación tiene declarados en su manifiesto:
- Con estos indicios y con ya muchas sospechas de
encontrarnos ante un nuevo malware, el siguiente paso es ejecutar la
muestra en un dispositivo móvil. Y lo primero que encontramos es que pide
permisos de administración. Otra evidencia.
- Y por si fuera poco, el icono desaparece de las
aplicaciones disponibles y al mismo tiempo realiza un par de peticiones al
C&C (Command and Control, la infraestructura mando y control):
- Con todas las evidencias reunidas, solo queda pasar
a realizar un análisis estático que nos ofrezca más información sobre este
malware. Tras un primer examen del código vemos que contiene diferentes
funcionalidades.
- En primer lugar descubrimos información de la
configuración del troyano, como es su punto de control, la clave con la
que va a comunicarse con el servidor y el nombre de la campaña. No se
puede decir que el desarrollador haya sido muy cuidadoso, ya que
posteriormente hemos encontrado estos mismos datos incluidos directamente
en otras partes del código ("hardcodeados").
- También comprobamos los diferentes nombres de
paquete de las aplicaciones que monitoriza. Encontrando aplicaciones tan
conocidas como PayPal o webmoney y de bancos principalmente rusos
(Alfa-Bank, Rosbank, Sberbank). El origen ruso del troyano se hace
evidente.
- Las intenciones son claras, inyectar su código
malicioso cuando el usuario abra alguna de ellas:
- Es el momento de volver al teléfono y probar el
funcionamiento sobre una de ellas. En este caso Visa QiWi, un proveedor
ruso de servicios de pago online:
- Tras introducir las credenciales en la pantalla que
nos muestra, vemos el tráfico realizado, tanto solicitando la web que ha
superpuesto como la información que hemos introducido:
- Además de la función de captura de credenciales de
banca online, también hemos encontrado funciones para recolectar los SMS
enviados y recibidos. Sin duda con el propósito de acceder a los sistemas
en los que haya un doble factor de autenticación:
- De nuevo, las medidas recomendadas son las
habituales: sentido común como nuestra mejor defensa, comprobar los
permisos que pide la aplicación cuando se instala y una red de seguridad
por si falla nuestra intuición. Nuestra propuesta pasa por la instalación
de Koodous, un antivirus ideado por y para la comunidad.
Más información
- En el siguiente post se analiza la botnet, el panel
y más datos interesantes sobre este nuevo malware.