Exobot es un troyano
bancario para dispositivos Android. Cuando se conoció, se le dio el nombre de
Marcher sin embargo ciertas características lo hacían distinguirse de él, entre
ellas el ser capaz de renderizar overlays en versiones 6.0 de Android. Incluso
el autor, lo quiso distinguir de Marcher llamándolo Exobot.
Por lo general, este
troyano se distribuía a través de markets externos y enlaces de phishing,
además de SMS a través de las víctimas infectadas. Una vez la víctima estaba
comprometida, el atacante podía interceptar los SMS de validación del banco y
renderizar overlays sobre las aplicaciones objetivo.
El autor de Exobot lo
alquilaba a los atacantes, los cuales nunca tenían acceso al código fuente.
Para generar los troyanos, utilizaban un panel web donde podían configurar el
troyano y estos debían ingeniárselas por su cuenta para infectar a las
víctimas. Este ecosistema se ha dilatado a lo largo del tiempo, por lo que muy
probablemente fuese un buen negocio para el autor.
Sin embargo,
recientemente el autor ha decidido cerrar el negocio de alquiler para pasar a
vender el código fuente a un pequeño grupo de usuarios. Esto puede significar
que el autor ha generado el suficiente dinero como para continuar arriesgando,
o ha suscitado el interés de los organismos de la ley para ser investigado.
De momento, el código
no ha sido filtrado pero se teme que acabe ocurriendo como con otros anteriores
como MazarBot o Bankbot, los cuales han sido liberados al público para crear
diferentes variantes con mejoras añadidas, y además haciéndolas accesibles a
otros usuarios menos experimentados que quieran introducirse en la creación de
este tipo de artefactos.
Tras la venta de este
troyano, pronto se comenzaron a detectar nuevas campañas haciendo uso de este.
Por tanto, podemos observar una clara relación entre su venta y el aumento de
objetivos.
Para prevenir este
tipo de infecciones, es ideal no descargar aplicaciones de markets externos,
además de mantener las soluciones antivirus actualizadas. Por ejemplo, las
aplicaciones infectadas que existan en el market de Google serán eliminadas
automáticamente a través de Google Play Protect.
Más información:
- EXOBOT (MARCHER) - ANDROID BANKING TROJAN ON THE RISE: https://clientsidedetection.com/marcher.html
- Exobot Author Calls It Quits and Sells Off Banking Trojan Source Code https://www.bleepingcomputer.com/news/security/exobot-author-calls-it-quits-and-sells-off-banking-trojan-source-code/
Fuente: Hispasec