Alien, el nuevo troyano bancario

Este troyano bancario, recientemente descubierto, está invadiendo los dispositivos Android en todo el mundo, utilizando una capacidad avanzada para eludir las medidas de seguridad de autenticación de dos factores (2FA) para robar las credenciales de las víctimas.

Una vez que ha infectado un dispositivo, la RAT apunta a robar contraseñas de al menos 226 aplicaciones móviles, incluidas aplicaciones bancarias como Bank of America Mobile Banking y Capital One Mobile, así como una gran cantidad de aplicaciones sociales y de colaboración como Snapchat, Telegram y Microsoft Panorama.

El malware, que se anunció por primera vez para alquiler en foros clandestinos en enero, se ha utilizado para atacar activamente a instituciones de todo el mundo. Los investigadores de ThreatFabric creen que Alien es una «bifurcación» del infame malware bancario Cerberus , que ha sufrido una desaparición constante en uso durante el año pasado.

Malware alienígena

Alien RAT tiene varias capacidades de malware de Android de uso común, incluida la capacidad de lanzar ataques de superposición , controlar y robar mensajes SMS y recolectar listas de contactos, así como registro de teclas, recolección de ubicación y otras capacidades.

Sin embargo, también promociona varias técnicas más avanzadas, incluido un rastreador de notificaciones que le permite acceder a todas las actualizaciones nuevas en los dispositivos infectados. Esto incluye códigos 2FA, lo que permite que el malware eluda las medidas de seguridad 2FA.

Alien aprovecha esta táctica abusando de «android.permission.BIND_NOTIFICATION_LISTENER_SERVICE» para obtener el contenido de las notificaciones de la barra de estado en el dispositivo infectado. Si bien normalmente el usuario necesitaría otorgar este permiso manualmente en la configuración, el malware elude este obstáculo al usar los privilegios de accesibilidad en los dispositivos Android, realizando todas las interacciones necesarias del usuario por sí mismo.

Lo hace utilizando una función avanzada de acceso remoto que abusa de la aplicación TeamViewer, dando al mal actor detrás del malware control remoto sobre los dispositivos de la víctima.

“Cuando TeamViewer se activa con éxito, proporciona a los actores un control remoto completo de la interfaz de usuario del dispositivo, lo que les permite acceder y cambiar la configuración del dispositivo, instalar y eliminar aplicaciones, pero también utilizar cualquier aplicación instalada en el dispositivo (aplicaciones bancarias, mensajería y redes sociales) ”, dijeron los investigadores. «Al monitorear el dispositivo en tiempo real, los actores también pueden obtener información valiosa sobre el comportamiento del usuario».

Diferenciar entre Alien y Cerberus

Con dos familias de malware que se originan en la misma base de código, pensamos que sería útil para la comunidad poder distinguir los troyanos. La distinción es la más fácil al comparar los protocolos C2. Las solicitudes de Alien C2 se crean de la siguiente manera:

Protocolo Alien C2

Las solicitudes de Cerberus C2, por otro lado, se ven así:

Protocolo Cerberus C2

Basado en el mismo código, los dos troyanos comparten la mayoría de las funcionalidades, pero los autores de Alien agregaron dos características principales que están ausentes en ambas versiones de Cerberus, respectivamente, el control remoto basado en TeamViewer del dispositivo infectado y el rastreador de notificaciones (ladrón).