Cabecera-v2-web.jpg

El autor del troyano Exobot vende el código fuente


Exobot es un troyano bancario para dispositivos Android. Cuando se conoció, se le dio el nombre de Marcher sin embargo ciertas caracterí­sticas lo hací­an distinguirse de él, entre ellas el ser capaz de renderizar overlays en versiones 6.0 de Android. Incluso el autor, lo quiso distinguir de Marcher llamándolo Exobot.

troyano-bancario.jpg

Por lo general, este troyano se distribuí­a a través de markets externos y enlaces de phishing, además de SMS a través de las ví­ctimas infectadas. Una vez la ví­ctima estaba comprometida, el atacante podí­a interceptar los SMS de validación del banco y renderizar overlays sobre las aplicaciones objetivo.

El autor de Exobot lo alquilaba a los atacantes, los cuales nunca tení­an acceso al código fuente. Para generar los troyanos, utilizaban un panel web donde podí­an configurar el troyano y estos debí­an ingeniárselas por su cuenta para infectar a las ví­ctimas. Este ecosistema se ha dilatado a lo largo del tiempo, por lo que muy probablemente fuese un buen negocio para el autor.

Sin embargo, recientemente el autor ha decidido cerrar el negocio de alquiler para pasar a vender el código fuente a un pequeño grupo de usuarios. Esto puede significar que el autor ha generado el suficiente dinero como para continuar arriesgando, o ha suscitado el interés de los organismos de la ley para ser investigado.

De momento, el código no ha sido filtrado pero se teme que acabe ocurriendo como con otros anteriores como MazarBot o Bankbot, los cuales han sido liberados al público para crear diferentes variantes con mejoras añadidas, y además haciéndolas accesibles a otros usuarios menos experimentados que quieran introducirse en la creación de este tipo de artefactos.

Tras la venta de este troyano, pronto se comenzaron a detectar nuevas campañas haciendo uso de este. Por tanto, podemos observar una clara relación entre su venta y el aumento de objetivos.

Para prevenir este tipo de infecciones, es ideal no descargar aplicaciones de markets externos, además de mantener las soluciones antivirus actualizadas. Por ejemplo, las aplicaciones infectadas que existan en el market de Google serán eliminadas automáticamente a través de Google Play Protect.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11