Las aplicaciones bancarias de Brasil están siendo atacadas por una versión más elusiva y sigilosa de un troyano de acceso remoto (RAT) de Android que es capaz de llevar a cabo ataques de fraude financiero al robar códigos de autenticación de dos factores (2FA) e iniciar transacciones fraudulentas de dispositivos infectados para transferir dinero de las cuentas de las víctimas a una cuenta operada por el actor de la amenaza.
IBM X-Force apodó el malware bancario renovado BrazKing , una versión anterior del cual fue denominada PixStealer por Check Point Research. La RAT móvil se vio por primera vez alrededor de noviembre de 2018, según ThreatFabric.
«Resulta que sus desarrolladores han estado trabajando para hacer que el malware sea más ágil que antes, moviendo su mecanismo de superposición central para extraer pantallas superpuestas falsas del servidor de comando y control (C2) en tiempo real», IBM X-Force El investigador Shahar Tavor señaló en un análisis técnico profundo publicado la semana pasada. «El malware […] permite al atacante registrar las pulsaciones de teclas, extraer la contraseña, tomar el control, iniciar una transacción y obtener otros detalles de autorización de la transacción para completarla».
La rutina de infección comienza con un mensaje de ingeniería social que incluye un enlace a un sitio web HTTPS que advierte a las posibles víctimas sobre problemas de seguridad en sus dispositivos, al tiempo que ofrece una opción para actualizar el sistema operativo a la última versión. Sin embargo, para que los ataques tengan éxito, los usuarios deberán habilitar explícitamente una configuración para instalar aplicaciones de fuentes desconocidas .
BrazKing, como su predecesor, abusa de los permisos de accesibilidad para realizar ataques de superposición en aplicaciones bancarias, pero en lugar de recuperar una pantalla falsa de una URL codificada y presentarla en la parte superior de la aplicación legítima, el proceso ahora se realiza en el lado del servidor para que la lista de aplicaciones específicas se puede modificar sin realizar cambios en el malware en sí.
«La detección de qué aplicación se está abriendo ahora se realiza en el lado del servidor, y el malware envía regularmente contenido en pantalla al C2. Luego, la captura de credenciales se activa desde el servidor C2, y no mediante un comando automático del malware», Tavor. dijo.
Los troyanos bancarios como BrazKing son particularmente insidiosos porque, después de la instalación, solo requieren una única acción de la víctima, es decir, habilitar el servicio de accesibilidad de Android para liberar completamente sus funcionalidades maliciosas. Armado con los permisos necesarios, el malware recopila información de la máquina infectada, incluida la lectura de mensajes SMS, la captura de pulsaciones de teclas y el acceso a listas de contactos.
«Se sabe desde hace mucho tiempo que Accessibility Service es el talón de Aquiles del sistema operativo Android», dijo el año pasado el investigador de ESET Lukas Stefanko .
Además de eso, el malware también toma varios pasos para intentar protegerse a sí mismo una vez que se ha instalado para evitar ser detectado y eliminado. BrazKing está diseñado para monitorear a los usuarios cuando inician una solución antivirus o abren la pantalla de desinstalación de la aplicación y, de ser así, los devuelven rápidamente a la pantalla de inicio antes de que se pueda realizar cualquier acción.
«Si el usuario intentara restaurar el dispositivo a la configuración de fábrica, BrazKing presionaría rápidamente los botones ‘Atrás’ e ‘Inicio’ más rápido que un humano, evitando que eliminen el malware de esa manera», explicó Tavor.
El objetivo final del malware es permitir que el adversario interactúe con las aplicaciones en ejecución en el dispositivo, controlar las aplicaciones que los usuarios están viendo en un momento dado, registrar las pulsaciones de teclas ingresadas en las aplicaciones bancarias y mostrar pantallas superpuestas fraudulentas para desviar los números PIN y los códigos 2FA de la tarjeta de pago, y eventualmente realizar transacciones no autorizadas.
«Los principales troyanos bancarios de escritorio han abandonado durante mucho tiempo los dominios de la banca de consumo para obtener mayores recompensas en fraudes BEC , ataques de ransomware y atracos individuales de alto valor», dijo Tavor. «Esto, junto con la tendencia actual de transición de la banca en línea a la telefonía móvil, provocó que un vacío en el ámbito clandestino del delito cibernético fuera llenado por el malware de la banca móvil».
Fuente: https://thehackernews.com
