Los investigadores de ciberseguridad han descubierto media docena de nuevas familias de malware para Android que vienen con la capacidad de robar datos de dispositivos comprometidos y llevar a cabo fraudes financieros.

El malware para Android abarca desde troyanos bancarios tradicionales como Revolución PIX , TaxiSpy RAT , Beat Banker , Mirax , y Oblivion RAT a herramientas completas de administración remota como SURCRATA .

PixRevolution, según Zimperium, tiene como objetivos La plataforma de pago instantáneo Pix de Brasil , secuestrando las transferencias de dinero de las víctimas en tiempo real para dirigirlas a los actores de la amenaza en lugar de al destinatario previsto.

«Esta nueva cepa de malware opera de forma sigilosa dentro del dispositivo hasta el momento en que la víctima inicia una transferencia de Pix», dijo el investigador de seguridad Aazim Yaswant dijo . «Lo que distingue a esta amenaza de los troyanos bancarios convencionales es su diseño fundamental: un operador de agente humano o de inteligencia artificial interviene activamente en el extremo remoto, observa la pantalla del teléfono de la víctima de forma instantánea y está preparado para actuar en el momento preciso de la transacción».

El malware de Android se propaga a través de páginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios para engañar a los usuarios para que instalen los archivos APK de cuentagotas maliciosos. Una vez instaladas, las aplicaciones instan a los usuarios a habilitarlas servicios de accesibilidad para alcanzar sus objetivos.

adsense

También se conecta a un servidor externo a través de TCP en el puerto 9000 para enviar mensajes de latidos periódicos que contienen información del dispositivo y activar la captura de pantalla en tiempo real mediante la API MediaProjection de Android. Sin embargo, la principal funcionalidad de PixRevolution es monitorear la pantalla de la víctima y publicar una falsa superposición tan pronto como la víctima introduzca la cantidad deseada y Clave Pix del destinatario para iniciar el pago.

En ese momento, el troyano muestra una superposición falsa de WebView que dice «Aguarde...» (que significa «esperar» en portugués/español), mientras que, en segundo plano, edita la clave Pix con la del atacante para completar la transferencia de fondos. En la fase final, se elimina la superposición y se muestra a la víctima una pantalla de confirmación en la que se indica que la transferencia se ha completado en la aplicación Pix.

«Desde la perspectiva de la víctima, no ocurrió nada inusual», dijo Yaswant. «La aplicación mostró brevemente un indicador de carga, algo que ocurre de forma rutinaria durante las operaciones bancarias legítimas. La transferencia se confirmó correctamente. La cantidad que pretendían enviar se descontó de su cuenta».

«Solo más tarde, a veces mucho más tarde, la víctima descubre que el dinero fue a la cuenta equivocada. Y dado que las transferencias de Pix son instantáneas y definitivas, la recuperación es extraordinariamente difícil».

Los usuarios brasileños también se han convertido en el objetivo de otra campaña de malware basada en Android llamada BeatBanker, que se propaga principalmente mediante ataques de suplantación de identidad a través de un sitio web disfrazado de Google Play Store. BeatBanker recibe su nombre del uso de un inusual mecanismo de persistencia que consiste en reproducir un archivo de audio casi inaudible, una grabación de 5 segundos con palabras en chino, en bucle para evitar que se interrumpa.

Además de incorporar comprobaciones de tiempo de ejecución para entornos emulados o de análisis, el malware monitorea la temperatura y el porcentaje de la batería y verifica si el usuario está usando el dispositivo para iniciar o detener el minero Monero según sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para el comando y el control (C2).

«Para lograr sus objetivos, los APK maliciosos contienen múltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar por completo el dispositivo y falsificar pantallas, entre otras cosas», dijo Kaspersky dijo . «Cuando el usuario intenta realizar una transacción en USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, sustituyendo de forma encubierta la dirección de destino por la dirección de transferencia del actor de la amenaza».

El módulo bancario también monitorea los navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y SBrowser hasta las URL a las que accede la víctima. Además, admite la posibilidad de recibir una larga lista de comandos del servidor para recopilar información personal y obtener el control total del dispositivo.

Se ha descubierto que las iteraciones recientes de la campaña han caído BTMOB RATA en lugar del módulo bancario. Proporciona a los operadores un control remoto integral, un acceso persistente y una vigilancia de los dispositivos comprometidos. Se considera que BTMOB es una evolución de CraxSrat, CypherRat , y las familias de SpySolr, todas las cuales han sido vinculadas a un actor de amenazas sirio que usa el alias en Internet ELFO .

«También vimos la distribución y venta del código fuente de BTMOB filtrado en algunos foros de la dark web», dijo el proveedor de seguridad ruso. «Esto puede sugerir que el creador de BeatBanker adquirió BTMOB de su autor original o de la fuente de la filtración y lo está utilizando como última herramienta».

TaxiSpy RAT, al igual que PixRevolution, abusa del servicio de accesibilidad de Android y de las API de MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenido del portapapeles, listas de aplicaciones instaladas, notificaciones, PIN de pantalla de bloqueo y pulsaciones de teclas, así como atacar las aplicaciones bancarias, de criptomonedas y gubernamentales rusas mediante superposiciones para robar credenciales.

El malware combina la funcionalidad tradicional de los troyanos bancarios con todas las capacidades de RAT, lo que permite a los actores de amenazas recopilar datos confidenciales y ejecutar los comandos enviados a través de los mensajes push de Firebase. Se han publicado varios ejemplos de TaxiSpy descubierto tanto por parte de CYFIRMA como de Zimperium, lo que indica que los atacantes están haciendo esfuerzos activos para evadir la detección basada en firmas y poner las defensas en listas negras.

«El malware aprovecha técnicas avanzadas de evasión, como el cifrado de bibliotecas nativas, la ofuscación continua de cadenas XOR y el control remoto en tiempo real tipo VNC a través de WebSocket», dijo CYFIRMA dijo . «Su diseño permite una vigilancia integral de los dispositivos, incluidos los SMS, los registros de llamadas, los contactos, las notificaciones y la supervisión de las aplicaciones bancarias, lo que pone de relieve su enfoque centrado en la región y por motivos financieros».

Otro troyano bancario de Android destacable es Mirax , que ha sido anunciada por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2500 dólares para la versión completa o de 1750 dólares para una variante ligera. Mirax afirma ofrecer funciones bancarias superpuestas, recopilar información (p. ej., pulsaciones de teclas, SMS, patrones de bloqueo) y un proxy SOCKS5 para dirigir el tráfico malintencionado a través de los dispositivos comprometidos.

Mirax no es la única oferta de MaaS para Android detectada en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion está a la venta por unos 300 dólares al mes (o 1.900 dólares al año y 2.200 dólares si el acceso es de por vida) y afirma que elude las funciones de detección y seguridad de los dispositivos de los principales fabricantes.

Una vez instalado, el malware emplea un mecanismo automatizado de concesión de permisos que no requiere la interacción de la víctima. Este enfoque, según el vendedor, funciona en MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).

«Lo que lo diferencia no es una característica única. Es la combinación: elusión automática de permisos, control remoto oculto, persistencia profunda y un generador de apuntar y hacer clic que pone todo al alcance de los posibles piratas informáticos con un mínimo nivel de conocimientos técnicos», dijo Certos dijo .

«Google ha hecho de las restricciones progresivas al abuso de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Una herramienta que elude de manera creíble las protecciones de la última versión (y que lo haga en dispositivos como Samsung, Xiaomi, OPPO y otros) representa un verdadero desafío para las defensas a nivel de plataforma».

enlaces

También se distribuye comercialmente a través de un ecosistema de MaaS basado en Telegram una familia de malware para Android llamada SURCRATA , que se considera una versión mejorada de Arsink . El malware abusa de los permisos de accesibilidad para lograr un control persistente y se comunica con una infraestructura C2 basada en Firebase para controlar los dispositivos infectados. El malware se comercializa en un canal de Telegram gestionado por un actor de amenazas indonesio.

Lo que llama la atención de algunos de los nuevos ejemplos es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detrás del malware están experimentando con capacidades de inteligencia artificial (IA), junto con la vigilancia tradicional. Dicho esto, la descarga del módulo LLM solo se activa cuando hay aplicaciones de juego específicas activas en el dispositivo de la víctima, o cuando el servidor recibe de forma dinámica nombres de paquetes de destino alternativos -

  • Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)
  • Free Fire x JUJUTSU KAISEN (com.dts.freefireth)

Algunas muestras de SURXRAT también incorporan un módulo de bloqueo de pantalla tipo ransomware que permite a un operador remoto secuestrar el control del dispositivo de la víctima y denegar el acceso mostrando un mensaje de bloqueo a pantalla completa hasta que se realice el pago.

«Esta evolución pone de relieve cómo los actores de amenazas siguen reutilizando y ampliando los marcos RAT de Android existentes, lo que acelera los ciclos de desarrollo de malware y permite la rápida introducción de nuevas funcionalidades de vigilancia y control», afirma Cyble. «La experimentación observada con la integración de grandes modelos de IA indica además que los actores de amenazas están explorando activamente las tecnologías emergentes para mejorar la eficacia operativa y evitar ser detectados».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.