Los investigadores de ciberseguridad han descubierto dos troyanos de Android diferentes llamados BankBot-YNRK y DeliveryRAT que pueden recopilar datos confidenciales de dispositivos comprometidos.
Según CYFIRMA, que analizó tres muestras diferentes de BankBot-YNRK, el malware tiene una funcionalidad incorporada para evadir los esfuerzos de análisis al verificar primero la ejecución dentro de un entorno virtualizado o emulado y luego extraer detalles del dispositivo, como el fabricante y el nombre del modelo, para confirmar si se está ejecutando en un dispositivo real.
BankBot-YNRK también verifica si el dispositivo es fabricado por Oppo o funciona con ColorOS, una versión del sistema operativo Android utilizado en dispositivos fabricados por fabricantes de equipos originales (OEM) chinos.
«El malware también incluye lógica para identificar dispositivos específicos», dijo CYFIRMA. «Verifica si el dispositivo es un dispositivo Google Pixel o Samsung y verifica si el modelo está incluido en una lista predefinida de modelos reconocidos o compatibles. Esto permite que el malware aplique funciones y optimizaciones específicas del dispositivo solo al dispositivo objetivo, evitando al mismo tiempo ejecutarse en modelos no reconocidos».
Los nombres de los paquetes APK que distribuyen malware son: Las tres aplicaciones se denominan «IdentitasKependudukanDigital.apk» y pueden intentar hacerse pasar por una aplicación legítima del gobierno de Indonesia llamada «Identitas Kependudukan Digital».
com.westpacb4a.payqingynrk1b4a com.westpacf78.payqingynrk1f78 com.westpac91a.payqingynrk191a
Una vez instalada, la aplicación maliciosa está diseñada para recopilar información del dispositivo y establecer en cero el volumen de varias transmisiones de audio, como música, tonos de llamada y notificaciones, evitando que las víctimas afectadas reciban llamadas entrantes, mensajes y otras notificaciones dentro de la aplicación.
También establece comunicación con un servidor remoto (‘ping.ynrkone(.)top’) y, al recibir el comando ‘OPEN_ACCESSIBILITY’, solicita al usuario que habilite los servicios de accesibilidad para fines tales como obtener privilegios elevados o realizar acciones maliciosas.
Sin embargo, este malware sólo puede apuntar a dispositivos Android que ejecuten la versión 13 o inferior. Android 14, lanzado a finales de 2023, introdujo nuevas funciones de seguridad que impiden que las aplicaciones utilicen servicios de accesibilidad para solicitar u otorgar permisos adicionales automáticamente.
«Hasta Android 13, las aplicaciones podían eludir las solicitudes de permiso a través de funciones de accesibilidad, pero en Android 14 este comportamiento ya no es posible y los usuarios deben otorgar permisos directamente a través de la interfaz del sistema», dijo CYFIRMA.
BankBot-YNRK aprovecha el servicio JobScheduler de Android para establecer persistencia en el dispositivo y garantizar que se inicie después del reinicio. También admite una amplia gama de comandos para obtener privilegios de administrador del dispositivo, administrar aplicaciones, interactuar con el dispositivo, redirigir llamadas entrantes usando códigos MMI, tomar fotografías, realizar operaciones con archivos, recopilar contactos, mensajes SMS, ubicación, lista de aplicaciones instaladas y contenido del portapapeles.
Otras características de este malware incluyen:
Se hace pasar por Google News reemplazando programáticamente el nombre y el ícono de la aplicación e iniciando “news.google(.)com” a través de WebView Captura el contenido de la pantalla y reconstruye la “IU esquelética” de las pantallas de aplicaciones, como aplicaciones bancarias, para facilitar el robo de credenciales Abusa de los servicios de accesibilidad para abrir aplicaciones de billetera criptográfica de una lista predefinida, recopila datos confidenciales e inicia transacciones fraudulentas Automatiza acciones de la interfaz de usuario Objetivos 62 Aparece un mensaje superpuesto que afirma que se está verificando su información personal, junto con acciones maliciosas como solicitar permisos adicionales o agregarse como aplicación de administrador del dispositivo.
«BankBot-YNRK exhibe un conjunto integral de capacidades destinadas a mantener el acceso a largo plazo, robar datos financieros y realizar transacciones fraudulentas en dispositivos Android comprometidos», dijo CYFIRMA.
Esta divulgación se produce después de que F6 revelara que los actores de amenazas están distribuyendo una versión actualizada de DeliveryRAT dirigida a propietarios de dispositivos Android en Rusia bajo la apariencia de servicios de entrega de alimentos, mercados, servicios bancarios y aplicaciones de seguimiento de paquetes. Se estima que las amenazas móviles estarán activas a partir de mediados de 2024.
Según la empresa rusa de ciberseguridad, el malware se promociona en un modelo de malware como servicio (MaaS) a través de un bot de Telegram llamado Bonvi Team, donde los usuarios pueden acceder a archivos APK o enlaces a páginas de phishing que distribuyen el malware.
Luego se acerca a las víctimas a través de aplicaciones de mensajería como Telegram y se les pide que descarguen la aplicación maliciosa como parte del seguimiento de pedidos desde un mercado falso o para oportunidades de empleo remoto. Independientemente de cómo la uses, la aplicación solicita acceso a notificaciones y configuraciones de optimización de la batería, recopila datos confidenciales y puede ejecutarse en segundo plano sin salir.
Además, las aplicaciones maliciosas tienen la capacidad de acceder a mensajes SMS y registros de llamadas, y ocultar sus propios íconos en el iniciador de la pantalla de inicio, lo que dificulta que los usuarios sin conocimientos técnicos los eliminen de sus dispositivos.
Algunas iteraciones de DeliveryRAT también tienen la capacidad de realizar ataques distribuidos de denegación de servicio (DDoS) realizando solicitudes simultáneas a enlaces URL enviados desde servidores externos e iniciando actividades capturadas realizando solicitudes simultáneas a enlaces URL enviados a ellos o engañando a los usuarios para que escaneen un código QR.
El descubrimiento de las dos familias de malware de Android es consistente con un informe de Zimperium que encontró más de 760 aplicaciones de Android desde abril de 2024 que explotan la comunicación de campo cercano (NFC) para capturar y enviar ilegalmente datos de pago a atacantes remotos.
Estas aplicaciones falsas, disfrazadas de aplicaciones financieras, aprovechan la emulación de tarjetas basada en host (HCE) de Android para robar datos de pagos y tarjetas de crédito sin contacto, al tiempo que solicitan a los usuarios que las establezcan como su método de pago predeterminado.
La información se transmite a canales de Telegram o aplicaciones de escucha dedicadas operadas por actores de amenazas. Los datos NFC robados se pueden utilizar para retirar fondos casi instantáneamente de la cuenta de un usuario o realizar compras en un terminal de punto de venta (PoS).
«Se han suplantado unas 20 instituciones, principalmente bancos y servicios financieros rusos, pero también organizaciones de Brasil, Polonia, República Checa y Eslovaquia», afirmó la empresa de seguridad móvil.
Source link
