Detectan nuevo troyano bancario que opera con Android que roba también credenciales de Apps sociales

Investigadores descubrieron una nueva variedad de malware bancario que además de dirigirse a aplicaciones bancarias, roba datos y credenciales de aplicaciones de redes sociales, citas y criptomonedas, teniendo un total de 337 aplicaciones no financieras para Android en su lista de objetivos. Nombrado BlackRock por los investigadores de ThreatFabric, los que descubrieron el troyano en […]

Investigadores descubrieron una nueva variedad de malware bancario que además de dirigirse a aplicaciones bancarias, roba datos y credenciales de aplicaciones de redes sociales, citas y criptomonedas, teniendo un total de 337 aplicaciones no financieras para Android en su lista de objetivos.

Nombrado BlackRock por los investigadores de ThreatFabric, los que descubrieron el troyano en mayo de este año, su código de fuente se deriva de una versión filtrada del malware bancario Xerxes, que en sí mismo es una cepa del troyano bancario para Android LokiBot, que se vio activo entre 2016 y 2017.

Una de sus características principales es el robo de credenciales del usuario, además de interceptar mensajes SMS, secuestrar notificaciones y grabar pulsaciones de teclas de las apps específicas. También es capaz de esconderse de los softwares de antivirus.

«No solo el troyano sufrió cambios en su código, sino que también viene con una mayor lista de objetivos y ha estado en curso por un período más largo. Contiene una cantidad importante de aplicaciones sociales, de comunicación y de citas que no se han observado en las listas de objetivos para otros troyanos bancarios existentes», indicó ThreatFabric.

BlackRock recopila los datos abusando de los privilegios del Servicio de Accesibilidad de Android, para lo cual, busca los permisos de los usuarios bajo la apariencia de falsas actualizaciones de Google cuando se inicia por primera vez en el dispositivo.

Después, se otorga permisos adicionales y establece una conexión con un servidor de comando y control remoto (C2), para llevar a cabo sus actividades maliciosas mediante la inyección de superposiciones en las pantallas de inicio de sesión y pago de las aplicaciones específicas.

Estas superposiciones de robo de credenciales se han encontrado en aplicaciones bancarias que operan en Europa, Australia, Estados Unidos y Canadá, además de aplicaciones comerciales y de comunicación.

«La lista objetivo de aplicaciones no financieras contiene aplicaciones como Tinder, TikTok, PlayStation, Facebook, Instagram, Skype, Snapchat, Twitter, Grinder, VK, Netflix, Uber, eBay, Amazon, Reddit y Tumblr, entre otras», dijeron los investigadores.

A inicios del año, los investigadores de IBM X-Force detallaron una nueva campaña de TrickBot, denominada TrickMo, que se encontró dirigida exclusivamente a usuarios alemanes con malware que utilizaba mal las funciones de accesibilidad para interceptar contraseñas de un solo uso (OTP), TAN móvil (mTAN) y códigos de autenticación pushTAN.

Lo que hace que la campaña de BlackRock sea diferente es el gran listado de objetivos específicos (aplicaciones), que van más allá de aplicaciones de banca móvil.