Investigadores de ciberseguridad han revelado detalles de dos nuevas familias de malware para Android denominadas FvncBot y Ladrón de semillasya que se ha detectado otra versión mejorada de ClayRat en la naturaleza.
Los hallazgos provienen de Intel 471, CYFIRMA y Zimperium, respectivamente.
FvncBot, que se hace pasar por una aplicación de seguridad desarrollada por mBank, se dirige a los usuarios de banca móvil en Polonia. Lo notable del malware es que está escrito completamente desde cero y no está inspirado en otros troyanos bancarios de Android como ERMAC cuyo código fuente se filtró.
El malware «implementó múltiples funciones, incluido el registro de teclas mediante el abuso de los servicios de accesibilidad de Android, ataques de inyección web, transmisión de pantalla y computación de red virtual oculta (HVNC) para realizar un fraude financiero exitoso», dijo Intel 471.
Al igual que el malware bancario Albiriox recientemente descubierto, el malware está protegido por un servicio de cifrado conocido como apk0day que ofrece Golden Crypt. La aplicación maliciosa actúa como un cargador instalando la carga útil FvncBot integrada.
Tan pronto como se inicia la aplicación dropper, se solicita a los usuarios que instalen un componente de Google Play para garantizar la seguridad y estabilidad de la aplicación, cuando, en realidad, conduce a la implementación del malware al hacer uso de un enfoque basado en sesiones que ha sido adoptado por otros actores de amenazas para evitar las restricciones de accesibilidad en dispositivos Android que ejecutan las versiones 13 y posteriores.
«Durante el tiempo de ejecución del malware, los eventos de registro se enviaron al servidor remoto en el dominio naleymilva.it.com para rastrear el estado actual del bot», dijo Intel 471. «Los operadores incluyeron un identificador de compilación call_pl, que indicaba a Polonia como el país objetivo, y la versión del malware se configuró en 1.0-P, lo que sugiere una etapa temprana de desarrollo.
Luego, el malware procede a pedirle a la víctima que le otorgue permisos de servicios de accesibilidad, lo que le permite operar con privilegios elevados y conectarse a un servidor externo a través de HTTP para registrar el dispositivo infectado y recibir comandos a cambio utilizando el servicio Firebase Cloud Messaging (FCM).
 |
| Proceso de FvncBot que habilita el servicio de accesibilidad. |
Algunas de las funciones de soporte se enumeran a continuación:
- Iniciar/detener una conexión WebSocket para controlar remotamente el dispositivo y deslizar, hacer clic o desplazarse para navegar por la pantalla del dispositivo
- Exfiltrar eventos de accesibilidad registrados al controlador
- Exfiltrar lista de aplicaciones instaladas
- Exfiltrar información del dispositivo y configuración del bot.
- Reciba configuración para ofrecer superposiciones maliciosas sobre aplicaciones específicas
- Muestre una superposición de pantalla completa para capturar y filtrar datos confidenciales.
- Ocultar una superposición
- Consultar el estado de los servicios de accesibilidad
- Abusar de los servicios de accesibilidad para registrar las pulsaciones de teclas
- Obtener comandos pendientes del controlador
- Abuse de la API MediaProjection de Android para transmitir contenido de la pantalla
FvncBot también facilita lo que se llama un modo de texto para inspeccionar el diseño y el contenido de la pantalla del dispositivo incluso en escenarios en los que una aplicación impide que se tomen capturas de pantalla configurando la opción FLAG_SECURE.
Actualmente no se sabe cómo se distribuye FvncBot, pero se sabe que los troyanos bancarios de Android aprovechan el phishing por SMS y las tiendas de aplicaciones de terceros como vector de propagación.
«El servicio de accesibilidad de Android está destinado a ayudar a los usuarios con discapacidades, pero también puede brindar a los atacantes la capacidad de saber cuándo se inician ciertas aplicaciones y sobrescribir la visualización de la pantalla», dijo Intel 471. «Aunque esta muestra en particular fue configurada para apuntar a usuarios de habla polaca, es posible que observemos que este tema cambia para apuntar a otras regiones o para hacerse pasar por otras instituciones polacas».
Si bien el enfoque principal de FvncBot es el robo de datos, SeedSnatcher, distribuido bajo el nombre Coin a través de Telegram, está diseñado para permitir el robo de frases iniciales de billeteras de criptomonedas. También admite la capacidad de interceptar mensajes SMS entrantes para robar códigos de autenticación de dos factores (2FA) para apropiación de cuentas, así como capturar datos del dispositivo, contactos, registros de llamadas, archivos y datos confidenciales mostrando superposiciones de phishing.
Se evalúa que los operadores de SeedSnatcher están basados en China o hablan chino según la presencia de instrucciones en idioma chino compartidas a través de Telegram y el panel de control del ladrón.
«El malware aprovecha técnicas avanzadas para evadir la detección, incluida la carga dinámica de clases, la inyección sigilosa de contenido WebView e instrucciones de comando y control basadas en números enteros», dijo CYFIRMA. «Si bien inicialmente solicita permisos mínimos de tiempo de ejecución, como acceso a SMS, luego aumenta los privilegios para acceder al administrador de archivos, superposiciones, contactos, registros de llamadas y más».
Los desarrollos se producen cuando Zimperium zLabs dijo que descubrió una versión mejorada de ClayRat que se ha actualizado para abusar de los servicios de accesibilidad además de explotar sus permisos de SMS predeterminados, convirtiéndolo en una amenaza más potente capaz de registrar pulsaciones de teclas y la pantalla, ofreciendo diferentes superposiciones como una pantalla de actualización del sistema para ocultar actividad maliciosa y creando notificaciones interactivas falsas para robar las respuestas de las víctimas.
 |
| Permiso de accesibilidad y SMS predeterminado de ClayRat |
La expansión de las capacidades de ClayRat, en pocas palabras, facilita la toma de control total del dispositivo a través del abuso de los servicios de accesibilidad, el desbloqueo automático del PIN/contraseña/patrón del dispositivo, la grabación de pantalla, la recopilación de notificaciones y las superposiciones persistentes.
ClayRat se ha difundido a través de 25 dominios de phishing fraudulentos que se hacen pasar por servicios legítimos como YouTube y anuncian una versión Pro para reproducción en segundo plano y compatibilidad con 4K HDR. También se ha descubierto que las aplicaciones con cuentagotas que distribuyen el malware imitan las aplicaciones rusas de taxis y aparcamientos.
«Juntas, estas capacidades hacen de ClayRat un software espía más peligroso en comparación con su versión anterior, donde la víctima podía desinstalar la aplicación o apagar el dispositivo al detectar la infección», dijeron los investigadores Vishnu Pratapagiri y Fernando Ortega.