Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias HOOK y Anatsa: nuevas variantes de troyanos bancarios para Android

HOOK y Anatsa: nuevas variantes de troyanos bancarios para Android

por Dragora

Los investigadores de ciberseguridad han identificado nuevas variantes de troyanos bancarios para Android que demuestran cómo las amenazas móviles están evolucionando hacia un modelo híbrido entre spyware, ransomware y malware financiero. Dos nombres destacan en esta evolución: HOOK y Anatsa, ambos diseñados para robar información sensible, tomar el control remoto de dispositivos y, en el caso más reciente, extorsionar a las víctimas con técnicas al estilo ransomware.


HOOK: el troyano bancario que ahora actúa como ransomware

De acuerdo con el análisis de Zimperium zLabs, la última variante de HOOK, un derivado del troyano bancario ERMAC, ha introducido una funcionalidad inquietante: la capacidad de desplegar una superposición de pantalla completa tipo ransomware.

Esta superposición muestra un mensaje de advertencia intimidante, acompañado de una dirección de billetera de criptomonedas y una cantidad de dinero exigida como rescate. Lo más preocupante es que estos datos se recuperan dinámicamente desde un servidor de comando y control (C2), lo que da flexibilidad al atacante para ajustar el monto y los detalles de la extorsión.

Según los investigadores, el ransomware se activa mediante el comando remoto

1
"ransome"

y puede ser descartado con el comando

1
"delete_ransome"

, ambos enviados desde el servidor C2.

Troyano HOOK para Android


Un malware con más de 100 comandos remotos

La versión más reciente de HOOK es especialmente peligrosa porque admite 107 comandos remotos, de los cuales 38 son completamente nuevos. Entre ellos destacan:

  • ransome: despliega la superposición de ransomware.

  • delete_ransome: elimina la superposición de ransomware.

  • takenfc: muestra una pantalla falsa de escaneo NFC para engañar al usuario.

  • unlock_pin: imita una pantalla de bloqueo para capturar el PIN o patrón de desbloqueo.

  • takencard: despliega una superposición similar a Google Pay para robar datos de tarjetas de crédito.

  • start_record_gesture: registra los gestos del usuario mediante una superposición transparente.

Estas funciones se suman a las capacidades clásicas de los troyanos bancarios en Android: mostrar pantallas superpuestas falsas sobre aplicaciones financieras, abusar de los servicios de accesibilidad de Android, robar cookies de sesiones y credenciales de billeteras de criptomonedas, enviar SMS y transmitir la pantalla del dispositivo en tiempo real.


Distribución y técnicas de engaño

HOOK se propaga a través de sitios web de phishing y repositorios falsos en GitHub, donde los actores de amenazas alojan archivos APK maliciosos. Esta táctica no es aislada: otros troyanos como ERMAC y Brokewell también han sido distribuidos de la misma manera, lo que sugiere una adopción más amplia de estos canales por parte de los ciberdelincuentes.

El investigador de Zimperium, Vishnu Pratapagiri, destacó que HOOK refleja cómo los troyanos bancarios están difuminando las categorías de amenazas, ya que ahora combinan técnicas propias del spyware y el ransomware, incrementando el impacto potencial sobre usuarios, empresas e instituciones financieras.


Anatsa: expansión hacia más servicios financieros

De forma paralela, el equipo de ThreatLabs de Zscaler reveló una nueva variante del troyano Anatsa, que amplió su alcance para atacar más de 831 aplicaciones y servicios bancarios y de criptomonedas en todo el mundo, frente a los 650 que afectaba anteriormente.

Entre los países más atacados se encuentran Alemania y Corea del Sur, aunque su impacto es global.

Una de las aplicaciones maliciosas identificadas que distribuye Anatsa se hacía pasar por un gestor de archivos, con el paquete «com.synexa.fileops.fileedge_organizerviewer». Este app actuaba como dropper, es decir, un instalador inicial que luego desplegaba el troyano principal en el dispositivo de la víctima.


Técnicas de evasión y abuso de accesibilidad

El nuevo Anatsa ha reemplazado la carga dinámica de código DEX por la instalación directa del malware, ocultando la carga útil en archivos dañados que se ejecutan en tiempo de ejecución.

Además, solicita permisos de accesibilidad que luego utiliza para:

  • Autoconcederse privilegios adicionales.

  • Enviar y recibir mensajes SMS.

  • Mostrar ventanas superpuestas sobre aplicaciones legítimas.

Estas características refuerzan la capacidad de robo de credenciales y control del dispositivo.


Amenaza en Google Play y evolución de otras familias

Zscaler reportó que, en paralelo a HOOK y Anatsa, detectaron 77 aplicaciones maliciosas en Google Play Store pertenecientes a distintas familias como Joker, Harly y maskware, con un total de más de 19 millones de instalaciones.

  • Harly, una variante de Joker identificada en 2022 por Kaspersky, fue hallada en 95 aplicaciones maliciosas adicionales este año.

  • Maskware es un tipo de malware que se disfraza de aplicaciones o juegos legítimos, pero emplea técnicas de ofuscación y carga dinámica para ocultar su contenido malicioso.

Esto demuestra que, a pesar de los esfuerzos de Google, los actores de amenazas logran introducir aplicaciones maliciosas incluso en la tienda oficial.


Respuesta de Google

Tras la publicación de estos hallazgos, Google emitió un comunicado asegurando que, según su detección actual, ninguna de estas aplicaciones se encuentra en Play Store.

La compañía destacó que todos los usuarios de Android cuentan con la protección de Google Play Protect, activada de forma predeterminada en dispositivos con Google Play Services. Este sistema es capaz de:

  • Bloquear aplicaciones maliciosas conocidas.

  • Alertar a los usuarios cuando intentan instalar apps sospechosas desde fuera de Google Play.

  • Analizar continuamente aplicaciones en busca de comportamientos anómalos.

En conclusión, la aparición de HOOK con superposiciones de ransomware y la expansión de Anatsa hacia más de 800 servicios financieros marcan un punto de inflexión en la evolución del malware bancario en Android.

Las familias de troyanos ya no se limitan a robar credenciales bancarias, sino que ahora integran tácticas de extorsión, espionaje y control total del dispositivo, aumentando significativamente el nivel de riesgo.

Para usuarios y empresas, la recomendación es clara:

  • Evitar descargar aplicaciones fuera de Google Play.

  • Verificar los permisos solicitados por las apps.

  • Mantener Google Play Protect activado.

  • Implementar soluciones avanzadas de seguridad móvil en entornos corporativos.

Con la convergencia entre spyware, ransomware y troyanos bancarios, la frontera entre categorías de malware móvil se vuelve cada vez más difusa, lo que obliga a reforzar la ciberseguridad en dispositivos Android como nunca antes.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!