Los investigadores de ciberseguridad han arrojado luz sobre dos troyanos de Android diferentes llamados Bankbot NYRK y Delivery Rat que son capaces de recopilar datos confidenciales de dispositivos comprometidos.
Según CYFIRMA, que analizados En tres ejemplos diferentes de Bankbot-YNRK, el malware incorpora funciones para eludir los esfuerzos de análisis comprobando primero su funcionamiento en un entorno virtualizado o emulado y, a continuación, extrayendo los detalles del dispositivo, como el fabricante y el nombre del modelo, para determinar si se está ejecutando en un dispositivo real.
Bankbot-YNRK también comprueba si el dispositivo es fabricado por Oppo o si funciona con ColorOS, una versión del sistema operativo Android que se utiliza en dispositivos fabricados por el fabricante de equipos originales (OEM) chino.
«El malware también incluye lógica para identificar dispositivos específicos», dijo CYFIRMA. «Verifica si el dispositivo es un dispositivo Google Pixel o Samsung y comprueba si su modelo está incluido en una lista predefinida de modelos reconocidos o compatibles. Esto permite que el malware aplique funciones u optimizaciones específicas del dispositivo solo en los dispositivos específicos, al tiempo que evita la ejecución en modelos no reconocidos».
Los nombres de los paquetes APK que distribuyen el malware se enumeran a continuación. Las tres aplicaciones se conocen con el nombre "IdentitasKependudukanDigital.apk», lo que probablemente parece ser un intento de hacerse pasar por un aplicación legítima del gobierno indonesio llamado «Identitas Kependudukan Digital».
- com.westpacb4a.payqingynrk1b4a
- com.westpacf78.payqingynrk1f78
- com.westpac91a.payqingynrk191a
Una vez instaladas, las aplicaciones maliciosas están diseñadas para recopilar información del dispositivo y reducir a cero el volumen de varias transmisiones de audio, como música, tonos de llamada y notificaciones, para evitar que la víctima afectada reciba alertas sobre llamadas entrantes, mensajes y otras notificaciones integradas en la aplicación.
También establece la comunicación con un servidor remoto («ping.ynrkone [.] top») y, al recibir el comando «OPEN_ACCESSIBILITY», insta al usuario a habilitar servicios de accesibilidad a fin de alcanzar sus objetivos, incluidos el logro de privilegios elevados y la realización de acciones malintencionadas.
Sin embargo, el malware solo puede atacar dispositivos Android que ejecuten la versión 13 o inferiores, ya que Android 14, lanzado a finales de 2023, introdujo una nueva función de seguridad que impide el uso de los servicios de accesibilidad para solicitar u otorgar automáticamente permisos adicionales a las aplicaciones.
«Hasta Android 13, las aplicaciones podían eludir las solicitudes de permisos mediante funciones de accesibilidad; sin embargo, con Android 14, este comportamiento ya no es posible y los usuarios deben conceder los permisos directamente a través de la interfaz del sistema», dijo CYFIRMA.
Bankbot-YNRK aprovecha el servicio JobScheduler de Android para establecer la persistencia en el dispositivo y garantizar que se inicie después de un reinicio. También admite una amplia gama de comandos para obtener privilegios de administrador del dispositivo, administrar aplicaciones, interactuar con el dispositivo, redirigir las llamadas entrantes mediante códigos MMI, tomar fotos, realizar operaciones con archivos y recopilar contactos, mensajes SMS, ubicaciones, listas de aplicaciones instaladas y contenido del portapapeles.
Algunas de las otras características del malware son las siguientes:
- Hacerse pasar por Google News reemplazando programáticamente el nombre y los íconos de las aplicaciones, así como lanzando «news.google [.] com» a través de WebView
- Capture el contenido de la pantalla para reconstruir una «interfaz de usuario básica» de pantallas de aplicaciones, como las aplicaciones bancarias, para facilitar el robo de credenciales
- Abusar de los servicios de accesibilidad para abrir aplicaciones de monederos de criptomonedas a partir de una lista predefinida y automatizar las acciones de la interfaz de usuario para recopilar datos confidenciales e iniciar transacciones no autorizadas
- Recuperar una lista de 62 aplicaciones financieras a las que dirigirse
- Mostrar un mensaje superpuesto en el que se afirma que se está verificando su información personal mientras se llevan a cabo las acciones maliciosas, como solicitarse permisos adicionales y añadirse a sí misma como aplicación de administración de dispositivos
«Bankbot-YNRK presenta un conjunto completo de funciones destinadas a mantener el acceso a largo plazo, robar datos financieros y ejecutar transacciones fraudulentas en dispositivos Android comprometidos», dijo CYFIRMA.
La divulgación viene como F6 revelada que los actores de amenazas están distribuyendo una versión actualizada de DeliveryRAT dirigida a los propietarios de dispositivos Android rusos con el pretexto de servicios de entrega de alimentos, mercados, servicios bancarios y aplicaciones de seguimiento de paquetes. Se estima que la amenaza móvil está activa desde mediados de 2024.
Según la empresa rusa de ciberseguridad, el malware es anunciado bajo un modelo de malware como servicio (MaaS) a través de un bot de Telegram llamado Bonvi Team, que permite a los usuarios acceder a un archivo APK o a enlaces a páginas de suplantación de identidad que distribuyen el malware.
Luego, se contacta a las víctimas a través de aplicaciones de mensajería como Telegram, donde se les pide que descarguen la aplicación maliciosa como parte del seguimiento de los pedidos de mercados falsos o para obtener una oportunidad de empleo remota. Independientemente del método utilizado, la aplicación solicita el acceso a las notificaciones y a la configuración de optimización de la batería para poder recopilar datos confidenciales y ejecutarse en segundo plano sin que se interrumpa.
Además, las aplicaciones fraudulentas vienen con la capacidad de acceder a los mensajes SMS y los registros de llamadas, y ocultar sus propios íconos del lanzador de la pantalla de inicio, lo que dificulta que un usuario menos experto en tecnología pueda eliminarlas del dispositivo.
Algunas versiones del DeliveryRAT también están equipadas para llevar a cabo ataques distribuidos de denegación de servicio (DDoS) realizando solicitudes simultáneas al enlace URL transmitido desde el servidor externo y lanzando actividades de captura realizando solicitudes simultáneas al enlace URL transmitido o engañando al usuario para que escanee un código QR.
El descubrimiento de las dos familias de malware para Android coincide con un informe de Zimperium, que descubrió más de 760 aplicaciones de Android desde abril de 2024 que hacen un uso indebido de la comunicación de campo cercano (NFC) para obtener datos de pago de forma ilegal y envíelo a un atacante remoto.
Estas aplicaciones falsas, que se hacen pasar por aplicaciones financieras, incitan a los usuarios a configurarlas como su método de pago predeterminado, al tiempo que aprovechan la emulación de tarjetas basada en el host de Android ( HCE ) para robar datos de tarjetas de crédito y pagos sin contacto.
La información es retransmitido ya sea a un canal de Telegram o a un aplicación tapper dedicada operado por los actores de la amenaza. Los datos NFC robados se utilizan luego para retirar fondos de las cuentas de un usuario o realizar compras en terminales de puntos de venta (PoS) casi al instante.
«Aproximadamente 20 instituciones han sido suplantadas, principalmente bancos y servicios financieros rusos, pero también atacan a organizaciones de Brasil, Polonia, la República Checa y Eslovaquia», dijo la empresa de seguridad móvil dijo .