El troyano bancario Anubis resurge para paralizar a más de 400 empresas financieras

Una nueva campaña de malware está utilizando el conocido malware Anubis. La campaña se hizo pasar por una aplicación de Orange Telecom para ofrecer la variante reciente de Anubis. Según Lookout, la aplicación se disfrazó como una plataforma oficial de administración de cuentas para Orange S.A., dirigida a clientes de Chase, Bank of America, Capital […]

Una nueva campaña de malware está utilizando el conocido malware Anubis. La campaña se hizo pasar por una aplicación de Orange Telecom para ofrecer la variante reciente de Anubis.

Según Lookout, la aplicación se disfrazó como una plataforma oficial de administración de cuentas para Orange S.A., dirigida a clientes de Chase, Bank of America, Capital One, Wells Fargo y otras 400 instituciones financieras.

Una vez descargado, el malware roba los datos personales del usuario. Además de esto, se dirige a clientes bancarios, billeteras criptográficas y plataformas de pago virtual.

El malware recopila información significativa de las víctimas interceptando SMS, monitoreo de pantalla, recopilación de datos GPS, registro de teclas, exfiltración de archivos y abuso de los servicios de accesibilidad.

La copia maliciosa de la aplicación de administración de cuentas de Orange Telecom se envió a Play Store en julio y luego se eliminó. Sin embargo, los investigadores creen que esto fue solo una prueba realizada para probar la seguridad de Google.

En la actualidad, los esfuerzos de ofuscación son mínimos y se implementan dentro de la aplicación.

Una vez descargado en el dispositivo de destino, el malware establece una conexión con el servidor C2 y descarga otra aplicación, FR [.] Apk, para iniciar el proxy SOCKS5.

Este proxy se utiliza para hacer cumplir la autenticación para los clientes que se comunican con el servidor C2 y enmascarar las comunicaciones.
Posteriormente, un mensaje de estafa les pide a los usuarios que desactiven Play Protect, para brindar control total al atacante.