El equipo de Zscaler ThreatLabz encontró el troyano bancario ‘Xenomorph‘ incrustado en una aplicación de estilo de vida en la tienda Google Play. El nombre de la aplicación es “Todo: Day manager”, y tiene más de 1.000 descargas.
El troyano llamado ‘Xenomorph’ roba la información de acceso a las aplicaciones bancarias de los dispositivos de los usuarios. Además, tiene la capacidad de interceptar los mensajes SMS y las notificaciones de los usuarios, lo que le permite acceder a las contraseñas de un solo uso y a las solicitudes de autenticación multifactor.
“Nuestro análisis encontró que el malware bancario Xenomorph que sale desde GitHub como una aplicación falsa de Google Service al instalar la app”, dijo el equipo de Zscaler ThreatLabz
“Este comienza pidiendo a los usuarios que habiliten el permiso de acceso. Una vez proporcionado, se agrega a sí mismo como administrador del dispositivo y evita que los usuarios deshabiliten el Device Admin, lo que lo hace difícil de remover del teléfono”.
Ciclo de infección de Xenomorph
La aplicación obtiene la URL del payload del malware bancario cuando se lanza por primera vez conectándose a un servidor Firebase. Así luego busca más comandos y propaga la infección, este malware financiero se pone en contacto con los servidores de comando y control (C2) utilizando el contenido de la página de Telegram o una rutina de código estático.
Ciclo de infección de Xenomorph
Los investigadores afirman que el malware sólo descargará cuentas bancarias útiles si el parámetro “Enabled” está configurado como verdadero. Además, el payload bancario tiene el enlace de la página de Telegram codificado con un cifrado RC4.
Una vez ejecutado, el payload bancario llegará a la página de Telegram y descargará el contenido alojado en esa página.
Se ha observado que los dominios de C2 están codificados en RC4 y almacenados dentro del código. El payload notifica a C2 sobre cada aplicación cargada para que pueda obtener más instrucciones.
En un caso, si se instala una aplicación legítima en el dispositivo infectado, mostrará la página de inicio de sesión falsa de una aplicación bancaria a la cual fue dirigida. El malware carga toda la información del paquete para recibir órdenes.
Otro programa llamado “Expense Keeper” también fue visto por ThreatLabz actuando de manera similar. Cuando se ejecuta esta aplicación, se ve que el “parámetro Enabled” y se establece falso. La URL del dropper para el payload bancario no pudo ser recuperada. Para resolver esta falla, ThreatLabz colabora con el equipo de seguridad de Google.
Estos instaladores de phishing bancario se basan frecuentemente en engañar a los usuarios para que instalen programas dañinos.
Se insta a los usuarios a prestar atención a las aplicaciones que se instalan. Una aplicación de Play Store no debería instar a los usuarios a instalar una aplicación desde fuentes no fiables ni a cargarla lateralmente. Por último, la concienciación de los usuarios es crucial para frustrar diversas tácticas de phishing.
Foto: arstechnica.com
