Los investigadores de ciberseguridad han descubierto una nueva variante del troyano de Banking Android llamado Hook, que tiene una pantalla de superposición de estilo ransomware para mostrar mensajes de miedo.
«Una característica notable de la última variante es su capacidad para desplegar superposiciones de ransomware de pantalla completa, cuyo objetivo es obligar a las víctimas a pagar el rescate», dijo Vishnu Pratapagiri, investigador de Zimperium Zlabs. «Esta superposición presenta un sorprendente mensaje ‘*advertencia*’ junto con la dirección y la cantidad de billetera. Ambos se recuperan dinámicamente del servidor de comando y control».
La compañía de seguridad móvil dijo que cuando el servidor C2 emite el comando «ransome», la superposición se inicia de forma remota. Un atacante puede rechazar las superposiciones enviando el comando «delete_ransome».
El gancho está calificado como un derivado del caballo de Troya de la Banca Ermac. Esto coincidió con el código fuente que se filtró en un directorio públicamente disponible en Internet.
Al igual que otro malware bancario dirigido a Android, puede mostrar pantallas de superposición falsas en la parte superior de las aplicaciones financieras para robar credenciales de los usuarios y abusar de los servicios de accesibilidad de Android para automatizar de forma remota el fraude y los dispositivos de comando.
Otras características notables incluyen la capacidad de enviar mensajes SMS a un número de teléfono dado, transmitir la pantalla de la víctima, capturar fotos usando la cámara frontal y robar cookies y frases de recuperación relacionadas con billeteras de criptomonedas.
La última versión por zimperium muestra un avance importante en el soporte de 107 comandos remotos con 38 nuevas incorporaciones. Esto incluye una superposición transparente para capturar los gestos de los usuarios, y un indicador engañoso para engañar a las víctimas para compartir datos confidenciales y recopilar pasadores o patrones de pantalla de bloqueo.
Aquí hay una lista de comandos recién agregados:
Ransome, visite la superposición de ransomware arriba del dispositivo delete_ransome, elimine la superposición de ransomware auckfc, use la superposición de webview de pantalla completa para mostrar la pantalla de escaneo de NFC falso, desbloquear y leer datos de tarjetas, mostrar dispositivos falsos, mostrar dispositivos falsos para adquirir dispositivos falsos para adquirir dispositivos falsos para adquirir dispositivos falsos para adquirir usuarios falsos para adquirir usuarios de los usuarios.
Se cree que los ganchos se distribuyen a gran escala para alojar y difundir archivos APK maliciosos utilizando sitios web de phishing y repositorios falsos de GitHub. Otras familias de malware de Android distribuidas a través de GitHub incluyen ERMAC y Brokewell, lo que indica una adopción más amplia entre los actores de amenazas.
«La evolución de los ganchos muestra que los troyanos bancarios están convergiendo rápidamente con tácticas de spyware y ransomware.» La expansión continua de la funcionalidad y la distribución generalizada hacen que estas familias sean más riesgosas para las instituciones financieras, empresas y usuarios finales «.
Anassa continúa evolucionando
Esta divulgación se produjo cuando ZScaler Amenaer detalló una versión actualizada de Anatsa Banking Trojan. Esto amplió se dirige a 831 bancos y servicios de criptomonedas en todo el mundo, incluidos los de Alemania y Corea del Sur de 650 personas reportadas anteriormente.
Se sabe que una de las aplicaciones en cuestión imita la aplicación Administrador de archivos (nombre del paquete: com.synexa.fileops.fileEdge_organizerviewer «). Además de reemplazar la forma dinámica de Codeload del ejecutable remoto de Dalvik (DEX) la carga útil con una instalación directa de Trojan, el malware utiliza el arqueo corrupta para ocultar la carga de pago dex que se despliega durante la estadía de inpodera.
Anatsa también requiere permisos para los servicios de accesibilidad de Android. Permite permisos adicionales para enviar y recibir mensajes de SMS, y se abusa de las ventanas de superposición de contenido al superponerlo.
En general, la compañía identificó 77 aplicaciones maliciosas de una variedad de familias de adware, máscara y malware, incluidas las Google Play Store Anatsa, Joker y Harly, y dijo que representaba más de 19 millones de instalaciones. Maskware se refiere a una categoría de aplicaciones que se presentan como aplicaciones legales o juegos en la App Store, pero incorpora técnicas de carga de código malicioso o de tubos para ocultar contenido malicioso.
Harry es la variante de Joker marcada por primera vez por Kaspersky en 2022. En marzo de este año, Human Security dijo que había descubierto 95 aplicaciones maliciosas, incluidas Harly, alojadas en Google Play Store.
«Anassa continúa evolucionando y mejorando con la tecnología antianalítica para evitar mejor la detección», dijo el investigador de seguridad Himansh Sharma. «El malware también ha agregado soporte para más de 150 nuevas aplicaciones financieras a su objetivo».
Source link
