Investigadores de ciberseguridad han revelado detalles sobre dos nuevas familias de malware para Android FvncBot Y Ladrón de semillasya que se ha detectado otra versión actualizada de ClayRat en la naturaleza.
Los resultados provienen de Intel 471, CYFIRMA y Zimperium respectivamente.
FvncBot, que se hace pasar por una aplicación de seguridad desarrollada por mBank, se dirige a los usuarios de banca móvil en Polonia. Lo que hace que este malware sea especial es que ha sido completamente reescrito desde cero y no está inspirado en otros troyanos bancarios para Android como ERMAC, cuyo código fuente se ha filtrado.
El malware “implementó múltiples funciones, incluido el registro de teclas mediante el abuso de los servicios de accesibilidad de Android, ataques de inyección web, transmisión de pantalla y computación de red virtual oculta (HVNC) para llevar a cabo un fraude financiero exitoso”, dijo Intel 471.
Al igual que el malware bancario Albiriox descubierto recientemente, el malware está protegido por un servicio de cifrado llamado apk0day ofrecido por Golden Crypt. La aplicación maliciosa actúa como un cargador instalando la carga útil FvncBot integrada.
Una vez que se inicia la aplicación Dropper, se solicita a los usuarios que instalen un componente de Google Play para garantizar la seguridad y estabilidad de la aplicación. Sin embargo, en realidad, esto da como resultado la entrega del malware utilizando un enfoque basado en sesiones adoptado por otros actores de amenazas para evitar las restricciones de acceso en dispositivos Android que ejecutan la versión 13 y posteriores.
“Durante el tiempo de ejecución del malware, los eventos de registro se enviaron al servidor remoto en el dominio naleymilva.it.com para rastrear el estado actual del bot”, dijo Intel 471. “Los operadores agregaron una ID de compilación llamada call_pl que especificaba Polonia como el país objetivo, y la versión del malware se configuró en 1.0-P, lo que indica una etapa temprana de desarrollo”.
Luego, el malware le pide a la víctima que le otorgue permisos de Servicios de Accesibilidad, lo que le permite operar con privilegios elevados y conectarse a un servidor externo a través de HTTP para registrar el dispositivo infectado y, a cambio, recibir comandos a través del servicio Firebase Cloud Messaging (FCM).
 |
| El proceso de FvncBot habilitando el servicio de accesibilidad. |
Algunas de las funciones de soporte se enumeran a continuación:
- Inicie/detenga una conexión WebSocket para controlar remotamente el dispositivo y deslice, haga clic o desplácese para navegar por la pantalla del dispositivo
- Exfiltrar eventos de accesibilidad registrados al controlador
- Filtrar la lista de aplicaciones instaladas
- Exfiltrar información del dispositivo y configuración del bot.
- Obtener configuración para implementar superposiciones maliciosas en aplicaciones de destino
- Muestre una superposición de pantalla completa para capturar y filtrar datos confidenciales.
- Ocultar una superposición
- Consultar el estado de los servicios de accesibilidad
- Abusar de los servicios de accesibilidad para registrar las pulsaciones de teclas
- Recuperar comandos pendientes del controlador
- Abuse de la API MediaProjection de Android para transmitir contenido de la pantalla
FvncBot también habilita el llamado modo de texto para verificar el diseño y el contenido de la pantalla del dispositivo, incluso en escenarios donde una aplicación impide tomar capturas de pantalla configurando la opción FLAG_SECURE.
Actualmente se desconoce cómo se distribuye FvncBot, pero se sabe que los troyanos bancarios de Android utilizan phishing por SMS y tiendas de aplicaciones de terceros como vector de distribución.
“El servicio de accesibilidad de Android está diseñado para ayudar a los usuarios con discapacidades, pero también puede brindar a los atacantes la capacidad de detectar cuándo se inician ciertas aplicaciones y sobrescribir la visualización de la pantalla”, dijo Intel 471. “Aunque esta muestra en particular fue configurada para apuntar a usuarios de habla polaca, es plausible que veamos este tema cambiar y apuntar a otras regiones o hacerse pasar por otras instituciones polacas”.
Mientras que FvncBot se centra en el robo de datos, SeedSnatcher, que se vende con el nombre de Coin en Telegram, tiene como objetivo permitir el robo de frases iniciales de carteras de criptomonedas. También admite la capacidad de interceptar mensajes SMS entrantes para robar códigos de autenticación de dos factores (2FA) para tomar el control de cuentas, así como capturar datos del dispositivo, contactos, registros de llamadas, archivos y datos confidenciales mostrando superposiciones de phishing.
Se cree que los operadores de SeedSnatcher tienen su sede en China o hablan chino, según la presencia de instrucciones en chino compartidas a través de Telegram y el panel de control del ladrón.
“El malware utiliza técnicas avanzadas para evadir la detección, incluida la carga dinámica de clases, la inyección sigilosa de contenido WebView y declaraciones de comando y control basadas en números enteros”, dijo CYFIRMA. “Si bien inicialmente se solicitan permisos mínimos de tiempo de ejecución, como acceso a SMS, los permisos se amplían posteriormente para incluir acceso al administrador de archivos, superposiciones, contactos, registros de llamadas y más”.
Los desarrollos se producen cuando Zimperium zLabs dijo que había descubierto una versión mejorada de ClayRat que se actualizó para abusar de las funciones de accesibilidad y explotar sus permisos de SMS estándar. Esto la convierte en una amenaza más poderosa que puede registrar pulsaciones de teclas y pantallas, proporcionar varias superposiciones, como una pantalla de actualización del sistema, para ocultar actividad maliciosa y crear notificaciones interactivas falsas para robar las respuestas de las víctimas.
 |
| SMS estándar de ClayRats y permiso de accesibilidad |
En resumen, ampliar las capacidades de ClayRat facilita la toma completa del dispositivo a través del abuso de los servicios de accesibilidad, el desbloqueo automático del PIN/contraseña/patrón del dispositivo, la grabación de pantalla, la captura de notificaciones y las superposiciones persistentes.
ClayRat se distribuyó a través de 25 dominios de phishing fraudulentos que se hacían pasar por servicios legítimos como YouTube y promocionaban una versión Pro para reproducción en segundo plano y compatibilidad con 4K HDR. También se descubrió que las aplicaciones con cuentagotas que propagaban el malware imitaban las aplicaciones rusas de taxis y aparcamientos.
“En conjunto, estas capacidades hacen de ClayRat un software espía más peligroso en comparación con su versión anterior, que permitía a la víctima desinstalar la aplicación o apagar el dispositivo si detectaba la infección”, dijeron los investigadores Vishnu Pratapagiri y Fernando Ortega.
About The Author
