El troyano, que ha pasado
desapercibido hasta conseguir al menos 78.000€ de sus víctimas, descarga código
malicioso en función de la entidad bancaria del usuario
La policía de la República Checa ha
dado aviso de un nuevo tipo de malware, que hasta el momento ha logrado
sustraer 78.000€ de diferentes víctimas. En el comunicado se han hecho públicas
imágenes de uno de los cómplices retirando el dinero robado de un cajero en
Praga, tal y como puede verse en la imagen a continuación.
Las aplicaciones fraudulentas en
cuestión son QRecorder (com.apps.callvoicerecorder) y Google Play Services
(gjfid.pziovmiq.eefff). Esta última, no debe confundirse con com.google.android.gms,
incluida con el sistema y firmada por Google. Utilizando Koodous, es posible
encontrar 4 muestras de la primera y otras 4 de la segunda, como por ejemplo
dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65 y
d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b.
El troyano al iniciarse requerirá los
permisos necesarios para realizar sus actividades delictivas, como
Accessibility service para descargar y ejecutar código externo malicioso en
función de la entidad bancaria, permiso para dibujar en otras aplicaciones para
robar las credenciales, e incluso permisos para leer y enviar SMS para la
confirmación de las transacciones.
Para la comunicación, el atacante hace
uso de Firebase, donde envía el listado de apps bancarias a vulnerar, para así
descargar el código fuente cifrado AES a ejecutar en función del banco.
Según puede comprobarse por el código
fuente, la aplicación cuenta con traducciones para checo, alemán y polaco (con
inglés por defecto), por lo que seguramente son los usuarios de estos tres
primeros idiomas los de interés por el atacante. En el siguiente vídeo por
Lukas Stefanko, puede comprobarse el funcionamiento del malware.
Este troyano evidencia una vez más que
una aplicación por encontrarse en Google Play no puede considerarse segura, y
que el número de descargas no es una muestra de confianza (ya que dicho número
puede alterarse mediante bots), por lo que deben extremarse las precauciones al
descargar aplicaciones, y utilizar herramientas que aseguren nuestro dispositivo.
Más información:
·
Banking
Trojan found on Google Play stole 10,000 Euros from victims: https://lukasstefanko.com/2018/09/banking-trojan-found-on-google-play-stole-10000-euros-from-victims.html
·
Koodous
- QRecorder: https://koodous.com/apks/dd5d3589755543003a97454a134ca578f05b39bf5152ccd6183fc7ef08c87c65
·
Koodous
- Google Play Services: https://koodous.com/apks/d0e28ee49d7b7feb5f94dbd00e4f5a6e4f418b536229188ef86bf45008c34d9b
Fuente: Hispasec