Los investigadores de ciberseguridad han descubierto una nueva variante de un troyano de banca Android llamado Hook que presenta pantallas de superposición de estilo ransomware para mostrar mensajes de extorsión.
«Una característica destacada de la última variante es su capacidad para implementar una superposición de ransomware de pantalla completa, cuyo objetivo es obligar a la víctima a remitir un pago de rescate», dijo el investigador de Zimperium Zlabs, Vishnu Pratapagiri. «Esta superposición presenta un mensaje alarmante ‘*advertencia*’, junto con una dirección y cantidad de billetera, que se recuperan dinámicamente del servidor de comando y control».
La compañía de seguridad móvil dijo que la superposición se inicia de forma remota cuando el servidor C2 emite el comando «Ransome». El atacante puede descartar la superposición enviando el comando «delete_ransome».
Se evalúa que Hook es una rama del troyano Banking Ermac, que, por coincidencia, tenía su código fuente filtrado en un directorio de acceso público a través de Internet.
Al igual que otro malware bancario dirigido a Android, es capaz de mostrar una pantalla de superposición falsa además de las aplicaciones financieras para robar las credenciales de los usuarios y abusar de los servicios de accesibilidad de Android para automatizar los dispositivos de fraude y comandantes de forma remota.
Otras características notables incluyen la capacidad de enviar mensajes SMS a los números de teléfono especificados, transmitir la pantalla de la víctima, capturar fotos usando la cámara frontal y robar cookies y frases de recuperación asociadas con billeteras de criptomonedas.
La última versión, por zimperium, señala un gran paso adelante, que admite 107 comandos remotos, con 38 recién agregados. Esto incluye servir superposiciones transparentes para capturar los gestos de los usuarios, superposiciones falsas de NFC para engañar a las víctimas para que compartan datos confidenciales y indicaciones engañosas para recopilar pin o patrón de pantalla de bloqueo.
La lista de comandos recién agregados es la siguiente –
- ransopara mostrar la superposición de ransomware en la parte superior del dispositivo
- eliminar_ransomepara eliminar la superposición de ransomware
- tareaspara mostrar una pantalla de escaneo de NFC falso utilizando una superposición de WebView de pantalla completa y leer datos de la tarjeta
- desbloquear_pinpara mostrar una pantalla de desbloqueo de dispositivo falso para recopilar un patrón de desbloqueo o código PIN y obtener acceso no autorizado al dispositivo
- Takencardpara mostrar una superposición falsa para recopilar información de la tarjeta de crédito imitando una interfaz de pago de Google
- start_record_gesturepara registrar los gestos de los usuarios mostrando una superposición de pantalla completa transparente
Se cree que Hook se distribuye a gran escala, utilizando sitios web de phishing y repositorios falsos de GitHub para alojar y difundir archivos APK maliciosos. Algunas de las otras familias de malware de Android distribuidas a través de GitHub incluyen Ermac y Brokewell, lo que indica una adopción más amplia entre los actores de amenazas.
«La evolución del gancho ilustra cómo los troyanos bancarios están convergiendo rápidamente con tácticas de spyware y ransomware, categorías de amenazas borrosas», señaló Zimperium. «Con la expansión continua de características y una amplia distribución, estas familias representan un riesgo creciente para las instituciones financieras, empresas y usuarios finales por igual».
Anatsa continúa evolucionando
La divulgación se produce cuando las amenazas de Zscaler detallaron una versión actualizada del troyano de banca Anatsa que ahora ha ampliado su enfoque para apuntar a más de 831 servicios bancarios y de criptomonedas en todo el mundo, incluidos los de Alemania y Corea del Sur, en comparación con 650 informados anteriormente.
Se ha encontrado que una de las aplicaciones en cuestión imita una aplicación de Administrador de archivos (nombre del paquete: «com.synexa.fileops.fileEdge_organizerviewer»), que actúa como un gotero para entregar anatsa. Además de reemplazar la carga de código dinámico de cargas útiles de ejecutables de Dalvik (DEX) remotos con la instalación directa del troyano, el malware utiliza archivos corruptos para ocultar la carga útil DEX que se implementa durante el tiempo de ejecución.
Anatsa también solicita permisos para los servicios de accesibilidad de Android, que posteriormente abusa para otorgarse permisos adicionales que le permiten enviar y recibir mensajes SMS, así como dibujar contenido sobre otras aplicaciones para mostrar ventanas de superposición.
En total, la compañía dijo que identificó 77 aplicaciones maliciosas de varias familias de adware, mascarilla y malware, como Anatsa, Joker y Harly, en Google Play Store, representando más de 19 millones de instalaciones. Maskware se refiere a una categoría de aplicaciones que se presentan como aplicaciones o juegos legítimos para las tiendas de aplicaciones, pero incorporan la ofuscación, la carga dinámica de código o las técnicas de tubos para ocultar contenido malicioso.
Harly es una variante de Joker que fue marcada por primera vez por Kaspersky en 2022. A principios de marzo, Human Security dijo que descubrió 95 aplicaciones maliciosas que contenían Harly que estaban alojadas en Google Play Store.
«Anatsa continúa evolucionando y mejorando con las técnicas anti-análisis para evadir mejor la detección», dijo el investigador de seguridad Himanshu Sharma. «El malware también ha agregado soporte para más de 150 nuevas aplicaciones financieras para el objetivo».