Una nueva
versión del troyano bancario ‘Marcher’ ha sido detectada recientemente en
Koodous, nuestro antivirus colaborativo
‘Marcher’ es un troyano bancario destinado,
principalmente, a robar datos bancarios, incluyendo datos de tarjetas de
créditos y credenciales de acceso al sistema bancario. Para llevar a cabo el
robo de datos, este malware actúa de forma similar a otras familias de malware
para Android, comprobando en segundo plano las aplicaciones activas en cada
momento. Si se abre una aplicación bancaria o cualquier otra aplicación
afectada, el troyano muestra una ventana falsa con la imagen del banco afectado
y solicitando los datos de acceso, simulando a la aplicación real para engañar
al usuario y obtener las credenciales.
El equipo
de análisis de malware de Hispasec ha analizado la nueva muestra, y como
resultado del análisis podemos apreciar que esta nueva versión del malware
introduce algunos cambios con respecto a versiones anteriores del mismo.
En primer
lugar, la aplicación conecta al servidor de control a través del protocolo
HTTP. Realiza una petición a las URLs hxxp://aperdosali.top/get_key y hxxp://aperdosali.top/get_file,
para descargar un fichero cifrado y la clave de descifrado. Dicho fichero es un
fichero APK, es decir, una nueva aplicación. Pero esta no se instalará en el
dispositivo, sino que se utilizará para cargar dinámicamente el código malicioso
que se encarga de mostrar y ocultar las inyecciones (ventanas falsas para robar
los credenciales).
Una vez
descargado el código del inyector, la aplicación envía información sobre el
dispositivo (imei, número de teléfono, aplicaciones instaladas, etc.).
Como
podemos apreciar en la imágenes, todo el envío de información al servidor de
control se hace cifrando la información e indicando el identificador del ‘bot’
(dispositivo infectado).
Esta
versión de ‘Marcher’ incluye la lista de bancos y aplicaciones afectadas cifrada,
por lo que no es posible acceder a ella directamente. La lista de aplicaciones
afectadas y el resto de la configuración del troyano se encuentran entre los
‘assets’ de la aplicación cifrados con algoritmo DES y usando la clave 6b34f4f6.
Además de
la posibilidad de mostrar una ventana falsa con una versión web para el robo de
credenciales, esta versión incluye inyectores nativos específicos. Para estos
inyectores, se realiza una petición a la URL
hxxp://aperdosali.top/inj_pkg/BASE64_PACKAGE_ID , donde BASE64_PACKAGE_ID es el
identificador del paquete codificado en Base64. Como respuesta, el servidor
devuelve un fichero ZIP que contiene los datos necesarios para mostrar la
ventana falsa (logos de la entidad afectada y texto en el idioma que
corresponda).
Y una vez
descargados los datos necesarios para realizar la inyección, la aplicación
espera a que el usuario abra la aplicación afectada para mostrar la ventana
falsa.
Una vez que
el usuario rellena los datos y los envía, la aplicación oculta la ventana falsa
y muestra la aplicación legítima mientras envía los datos al servidor de
control a través de la URL hxxp://aperdosali.top/api/form. En el caso de las
inyecciones que solicitan datos de tarjetas de credito, estos se envían al
servidor de control a través de la URL hxxp://aperdosali.top/api/cards.
La muestra
analizada afecta a aplicaciones de entidades bancarias Europeas (Austria,
Alemania, Francia, Polonia, Turquía), de Estados Unidos, China, Singapure y
Taiwan.
Como
siempre, desde Hispasec recomendamos instalar aplicaciones de plataformas
reconocidas como Google Play y nunca de lugares desconocidos. Y aunque se
descarguen de plataformas reconocidas, siempre deben tener cuidado porque
incluso en estas plataformas podemos encontrar de vez en cuando alguna aplicación
maliciosa, como ya se hemos visto en otras ocasiones.
IoCs:
C2
aperdosali.top
comedirtad.top
47.74.70.68
SHA256 de
la muestra
2f748905818f8385f3d43212a60f9ee113d59b6b7bf3fd195a2c790ccca92a07
SHA256 del
Inyector
a203d33154941f03ed43f9ff3688dba176554cf157aed2b9a65eef176720aaa3
Más información:
- Información sobre la evolución del troyano Marcher/Exobot: https://www.threatfabric.com/blogs/exobot_android_banking_trojan_on_the_rise.html
- Enlace a la muestra en Koodous: https://koodous.com/apks/2f748905818f8385f3d43212a60f9ee113d59b6b7bf3fd195a2c790ccca92a07
Fuente:
Hispasec