Investigadores de ciberseguridad han descubierto seis nuevas familias de malware para Android con la capacidad de robar datos de dispositivos comprometidos y cometer fraude financiero.
El malware para Android abarca desde troyanos bancarios tradicionales como PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT hasta herramientas completas de administración remota como SUXRAT.
Según Zimperium, PixRevolution apunta a la plataforma de pago instantáneo Pix de Brasil, secuestrando las transferencias de dinero de las víctimas en tiempo real y dirigiéndolas a actores de amenazas en lugar de a los destinatarios previstos.
El investigador de seguridad Azim Jaswant dijo: «Este nuevo malware opera de forma encubierta dentro del dispositivo hasta el momento en que la víctima inicia la transferencia Pix». «Lo que diferencia a esta amenaza de los troyanos bancarios tradicionales es su diseño fundamental: un operador humano o un agente de inteligencia artificial participa activamente en el extremo remoto, observa instantáneamente la pantalla del teléfono de la víctima y está listo para actuar en el momento preciso de la transacción».
El malware de Android se propaga a través de páginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios, engañando a los usuarios para que instalen archivos APK con cuentagotas maliciosos. Una vez instalada, la aplicación solicita al usuario que habilite los servicios de accesibilidad para lograr su objetivo.
También se conecta a un servidor externo a través de TCP en el puerto 9000, envía mensajes de latido periódicos con información del dispositivo y activa la captura de pantalla en tiempo real utilizando la API MediaProjection de Android. Sin embargo, la característica principal de PixRevolution es monitorear la pantalla de la víctima y proporcionar una superposición falsa tan pronto como la víctima ingresa la cantidad deseada y la clave Pix del destinatario para iniciar el pago.
En este punto, el troyano muestra una superposición WebView falsa que dice «Aguarde…» (portugués/español para «esperar»), mientras en segundo plano edita la clave Pix a la clave del atacante para completar la transferencia de fondos. En la etapa final, se elimina la superposición y a la víctima se le presenta una pantalla de confirmación de «transferencia completa» en la aplicación Pix.
«Desde la perspectiva de la víctima, no pasó nada fuera de lo común», dijo Jaswant. «La aplicación mostró temporalmente un indicador de carga. Esto es algo común durante las operaciones bancarias regulares. Su transferencia se confirmó con éxito. La cantidad que intentaba transferir se debitó de su cuenta».
«Las víctimas no se dan cuenta de que su dinero fue enviado a la cuenta equivocada hasta mucho más tarde, a veces mucho más tarde. Y como las transferencias de Pix son inmediatas y definitivas, la recuperación es extremadamente difícil».
Los usuarios de Brasil también han sido blanco de otra campaña de malware basada en Android llamada BeatBanker, que se propaga principalmente a través de ataques de phishing a través de sitios web que se hacen pasar por Google Play Store. El nombre de BeatBanker proviene del uso de un mecanismo de persistencia inusual: reproduce en bucle un archivo de audio apenas audible, una grabación de cinco segundos con palabras chinas, e impide que finalice.
Además de incorporar comprobaciones de tiempo de ejecución para un entorno emulado o analítico, el malware también monitorea la temperatura y los porcentajes de la batería y verifica si el usuario está usando el dispositivo para iniciar o detener el minero Monero según sea necesario. Utilice Firebase Cloud Messaging (FCM) de Google para comando y control (C2).
«Para lograr su objetivo, el APK malicioso incorpora múltiples componentes, incluido un minero de criptomonedas y un troyano bancario que puede secuestrar completamente el dispositivo y disfrazar su pantalla», dijo Kaspersky. «Cuando un usuario intenta realizar una transacción USDT, BeatBanker crea una página superpuesta de Binance y Trust Wallet y reemplaza secretamente la dirección de destino con la dirección de reenvío del actor de la amenaza».
Este módulo bancario monitorea las URL visitadas por las víctimas desde navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser. Además, también admite la capacidad de recibir una larga lista de comandos del servidor para recopilar información personal y tomar el control total de su dispositivo.
Se ha descubierto que campañas recientes eliminan el BTMOB RAT en lugar del módulo bancario. Esto brinda a los operadores control remoto integral, acceso persistente y monitoreo de dispositivos comprometidos. Se considera que BTMOB es una evolución de las familias CraxsRAT, CypherRAT y SpySolr, todas las cuales están asociadas con el actor de amenazas sirio que opera bajo el alias en línea EVLF.
«También hemos confirmado la distribución y venta del código fuente BTMOB filtrado en algunos foros de la web oscura», dijo el proveedor de seguridad ruso. «Esto puede sugerir que los creadores de BeatBanker obtuvieron BTMOB del creador o filtrador original y lo utilizaron como carga útil final».
Al igual que PixRevolution, TaxiSpy RAT apunta a aplicaciones bancarias, criptomoneda y gubernamentales rusas abusando de los servicios de accesibilidad de Android y la API MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenido del portapapeles, lista de aplicaciones instaladas, notificaciones, PIN de pantalla de bloqueo y pulsaciones de teclas, además de proporcionar una superposición para el robo de credenciales.
Este malware combina la funcionalidad de los troyanos bancarios tradicionales con la funcionalidad RAT completa, lo que permite a los atacantes recopilar datos confidenciales y ejecutar comandos enviados a través de mensajes push de Firebase. CYFIRMA y Zimperium han descubierto varias muestras de TaxiSpy, lo que demuestra esfuerzos activos por parte de los atacantes para evadir la detección basada en firmas y la protección de listas negras.
«El malware utiliza técnicas de evasión avanzadas, incluido el cifrado de biblioteca nativo, ofuscación de cadenas XOR y control remoto similar a VNC en tiempo real sobre WebSockets», dijo CYFIRMA. «Su diseño permite un monitoreo integral de dispositivos, incluido el monitoreo de SMS, registros de llamadas, contactos, notificaciones y aplicaciones bancarias, enfatizando los incentivos económicos y el enfoque específico de la región».
Otro troyano bancario notable para Android es Mirax. Un actor de amenazas llamado Mirax Bot lo anuncia como un servicio privado de malware como servicio (MaaS), con una tarifa mensual de 2.500 dólares para la versión completa y 1.750 dólares para la versión ligera. Mirax afirma proporcionar una superposición bancaria, recopilación de información (pulsaciones de teclas, SMS, patrones de bloqueo, etc.) y un proxy SOCKS5 para enrutar el tráfico malicioso a través de un dispositivo comprometido.
Mirax no es el único servicio MaaS de Android descubierto en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por unos 300 dólares al mes (o 1.900 dólares al año, o 2.200 dólares por acceso de por vida) y pretende eludir las funciones de detección y seguridad de los dispositivos de los principales fabricantes.
Una vez instalado, el malware emplea un mecanismo automático de concesión de permisos que no requiere interacción por parte de la víctima. Según el vendedor, este enfoque funciona con MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).
«Lo que lo distingue no es una característica única, sino una combinación de omisión automatizada de privilegios, control remoto oculto, persistencia profunda y un constructor de apuntar y hacer clic que lo pone todo al alcance incluso de posibles piratas informáticos con habilidades técnicas mínimas», dijo Certos.
«Google ha hecho de las restricciones progresivas a los exploits de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Las últimas versiones tienen herramientas para eludir estas protecciones de manera confiable, y lo están haciendo en dispositivos de Samsung, Xiaomi, OPPO y más, lo que representa un verdadero desafío para las defensas a nivel de plataforma».
También se distribuye comercialmente a través del ecosistema MaaS basado en Telegram una familia de malware para Android llamada SUXRAT, que se dice que es una versión mejorada de Arsink. El malware explota los permisos de accesibilidad para un control persistente y se comunica con la infraestructura C2 basada en Firebase para extorsionar a los dispositivos infectados. El malware se vende en canales de Telegram controlados por atacantes indonesios.
En algunas de las nuevas muestras es notable la presencia de componentes de modelo de lenguaje a gran escala (LLM), lo que indica que los atacantes detrás del malware están experimentando con capacidades de inteligencia artificial (IA) además del monitoreo tradicional. Sin embargo, la descarga del módulo LLM solo se activa cuando una aplicación de juego específica está activa en el dispositivo de la víctima o cuando se recibe dinámicamente un nombre de paquete de destino alternativo desde el servidor.
Free Fire MAX × Jujutsu Kaisen (com.dts.freefiremax) Free Fire × Jujutsu Kaisen (com.dts.freefireth)
Algunas muestras de SUXRAT también incluyen un módulo de bloqueo de pantalla estilo ransomware que permite a un operador remoto tomar el control del dispositivo de una víctima y negar el acceso mostrando un mensaje de bloqueo de pantalla completa hasta que se realice el pago.
«Esta evolución destaca cómo los actores de amenazas continúan reutilizando y ampliando el marco RAT de Android existente, acelerando los ciclos de desarrollo de malware y permitiendo una implementación rápida de nuevas capacidades de monitoreo y control», dijo Cyble. «Los experimentos observados con la integración de modelos de IA a gran escala demuestran aún más que los adversarios están explorando activamente nuevas tecnologías para aumentar la eficiencia operativa y evadir la detección».
Source link
