Investigadores de ciberseguridad han revelado detalles de dos nuevas familias de malware para Android llamadas FvncBot y SeedSnatcher, cuando se descubrió otra versión mejorada de ClayRat en la naturaleza.
Los hallazgos se obtuvieron de Intel 471, CYFIRMA y Zimperium, respectivamente.
FvncBot se dirige a los usuarios polacos de banca móvil bajo la apariencia de una aplicación de seguridad desarrollada por mBank. Lo destacable de este malware es que fue escrito completamente desde cero y no está influenciado por otros troyanos bancarios de Android como ERMAC, cuyo código fuente se ha filtrado.
Según Intel 471, el malware «implementó múltiples características que incluyen registro de teclas, ataques de inyección web, transmisión de pantalla y computación de red virtual oculta (HVNC) al explotar los servicios de accesibilidad de Android para cometer con éxito fraude financiero».
Similar al malware bancario Albiriox descubierto recientemente, este malware está protegido por un servicio de cifrado conocido como apk0day proporcionado por Golden Crypt. La aplicación maliciosa actúa como un cargador instalando una carga útil FvncBot integrada.
Tan pronto como se inicia la aplicación dropper, se solicita a los usuarios que instalen componentes de Google Play para garantizar la seguridad y estabilidad de la aplicación, pero en realidad, aprovecha un enfoque basado en sesiones que otros actores de amenazas emplean para evitar las restricciones de accesibilidad en dispositivos Android que ejecutan la versión 13 y superior, lo que lleva a la implementación de malware.
«Mientras se ejecutaba el malware, los eventos de registro se enviaban a un servidor remoto en el dominio naleymilva.it.com para rastrear el estado actual del bot», dijo Intel 471. “El operador incluyó un identificador de compilación call_pl que indicaba a Polonia como el país objetivo, y la versión del malware se configuró en 1.0-P, lo que sugiere que se encontraba en las primeras etapas de desarrollo.
Luego, el malware solicita a la víctima que otorgue permisos de servicio de accesibilidad, opera con privilegios elevados y se conecta a un servidor externo a través de HTTP para registrar el dispositivo infectado para que pueda recibir comandos en su nombre utilizando el servicio Firebase Cloud Messaging (FCM).
Proceso FvncBot para habilitar servicios de accesibilidad.
Algunas de las funciones compatibles se enumeran a continuación.
Controle de forma remota un dispositivo iniciando/deteniendo una conexión WebSocket y muévase por la pantalla del dispositivo deslizando, haciendo clic o desplazándose Extraiga eventos de accesibilidad registrados al controlador Extraiga una lista de aplicaciones instaladas Extraiga información del dispositivo y configuración del bot Reciba configuraciones para ofrecer superposiciones maliciosas en aplicaciones específicas Mostrar superposiciones de pantalla completa para capturar y extraer datos confidenciales Ocultar superposiciones Verificar el estado de los servicios de accesibilidad Accesibilidad Abusar de los servicios para registrar las pulsaciones de teclas Recuperar comandos pendientes Abusar de la API MediaProjection de Android para transmitir contenido de la pantalla un controlador
FvncBot también facilita el llamado modo de texto para inspeccionar el diseño y el contenido de la pantalla de un dispositivo, incluso en escenarios donde una aplicación configura la opción FLAG_SECURE para evitar tomar capturas de pantalla.
Aunque actualmente se desconoce cómo se distribuye FvncBot, se sabe que los troyanos bancarios de Android utilizan phishing por SMS y tiendas de aplicaciones de terceros como vectores de propagación.
«Si bien los servicios de accesibilidad de Android están destinados a ayudar a los usuarios con discapacidades, también es posible que un atacante sepa cuándo se inicia una aplicación en particular y anule lo que se muestra en la pantalla», dijo Intel 471. «Aunque esta muestra en particular está configurada para apuntar a usuarios de habla polaca, es muy posible que observemos que este tema se transforme para apuntar a otras regiones o hacerse pasar por otras instituciones polacas».
Si bien el enfoque principal de FvncBot es el robo de datos, SeedSnatcher (distribuido bajo el nombre Coin a través de Telegram) está diseñado para permitir el robo de frases iniciales de billeteras de criptomonedas. También admite la capacidad de interceptar mensajes SMS entrantes para robar códigos de autenticación de dos factores (2FA) para el control de cuentas y la capacidad de mostrar superposiciones de phishing para capturar datos del dispositivo, contactos, registros de llamadas, archivos y datos confidenciales.
Según la presencia de instrucciones en chino compartidas a través de Telegram y los paneles de control de los ladrones, se considera que los operadores de SeedSnatcher están basados en China o son hablantes de chino.
«El malware utiliza técnicas avanzadas como carga dinámica de clases, inyección sigilosa de contenido WebView e instrucciones de comando y control basadas en números enteros para evadir la detección», dijo CYFIRMA. «Inicialmente solicita permisos mínimos de tiempo de ejecución, como acceso a SMS, pero luego aumenta los permisos para acceder a administradores de archivos, superposiciones, contactos, registros de llamadas, etc.»
Este desarrollo se produce después de que Zimperium zLabs anunciara que había descubierto una versión mejorada de ClayRat que se ha actualizado para explotar los permisos de SMS predeterminados, así como los servicios de accesibilidad, convirtiéndolo en una amenaza más poderosa que puede registrar pulsaciones de teclas y pantallas, proporcionar varias superposiciones, como pantallas de actualización del sistema para ocultar actividad maliciosa y crear notificaciones interactivas falsas para robar las respuestas de las víctimas.
Permisos de accesibilidad y SMS predeterminados de ClayRat
En pocas palabras, las capacidades mejoradas de ClayRat facilitan la explotación de servicios de accesibilidad, el desbloqueo automático de PIN/contraseñas/patrones del dispositivo, la grabación de pantalla, la recopilación de notificaciones y la toma de control de todo el dispositivo con superposiciones persistentes.
ClayRat se propaga a través de 25 dominios de phishing fraudulentos que se hacen pasar por servicios legítimos como YouTube y anuncian una versión Pro con reproducción en segundo plano y compatibilidad con 4K HDR. También se ha descubierto que la aplicación cuentagotas que distribuye este malware imita aplicaciones rusas de taxis y aparcamientos.
Los investigadores Vishnu Pratapagiri y Fernando Ortega dijeron: «En conjunto, estas características hacen de ClayRat un software espía más peligroso que las versiones anteriores, lo que podría hacer que las víctimas desinstalen aplicaciones o apaguen sus dispositivos si detectan una infección».
Source link
