Cabecera-v2-web.jpg

Malwares dirigidos a dispositivos móviles buscan obtener información confidencial


Hoy en día todos los usuarios (o al menos la mayoría) cuenta con un dispositivo móvil, en donde, en muchos de los casos por comodidad son almacenados datos o información personal y/o confidencial, dando una relevancia muy importante a la seguridad del dispositivo.

Con esto, no es sorpresa que casi la totalidad de malwares o troyanos afecten a dispositivos Android, debido a que es uno de los sistemas operativos predominantes. Sin embargo, los teléfonos móviles de hoy en dia no constituyen un blanco fácil, es decir, tienen una arquitectura más segura y una menor superficie de ataque. Además ofrecen tiendas oficiales con el fin de evitar la descarga de ejecutables desde orígenes desconocidos y así tratar de evitar la infección del móvil por esta vía. Es por esto que los delincuentes aplican diversas técnicas para sobrepasar dichos obstáculos con el fin de ejecutar el malware en los dispositivos móviles (Troyanos SMS, troyanos clicker, adware, ransomware, spyware, bots, troyanos bancarios y criptomineros, son algunos ejemplos). El principal objetivo del ataque es lograr la propagación del malware en el sistema, es decir, lograr que el ejecutable malicioso invada el dispositivo de la víctima. Para ello los delincuentes utilizan una o una combinación de las siguientes técnicas:

  • Explotar vulnerabilidades o fallos de seguridad en la arquitectura móvil, donde el firmware puede estar expuesto a huecos de seguridad como se ha visto anteriormente en varios modelos de dispositivos móviles. Estos fallos también pueden darse en protocolos de comunicación, como lo es Bluetooth, afectado anteriormente por vulnerabilidades que permitían a un delincuente interceptar datos enviados por el mismo.
  • Publicar malware en tiendas oficiales, usualmente dan una apariencia de legítimas y seguras. A pesar de ser necesario evadir diversos controles para llegar a publicar una aplicación en una tienda oficial, dichos controles son evadidos por delincuentes utilizando técnicas como la antiemulación la cual es utilizada para averiguar si el entorno de ejecución corresponde a un dispositivo real o no, mediante la identificación de atributos en emuladores o máquinas virtuales móviles y en caso de detectarlo ocultan el comportamiento malicioso.
  • Por medio de la ingeniería social, creando campañas que promueven engaños u ofrecen cupones de canje, descuento. Como un anterior caso de WhatsApp, en donde engañaban con la excusa de que implementar la función de cambiar el color de WhatsApp. Todo esto con el objetivo de que la víctima descargue una aplicación, ceda sus datos y termine suscrito a un servicio de mensajería “premium” el cual cobraría a la víctima sin su conocimiento, también permitiendo la propagación de malware o troyanos incitando al usuario a descargar archivos.

  • Otra técnica de propagación basada también en la ingeniería social, se trata de la utilización de scareware, el cual consiste en estafas a los usuarios con el fin de incitarlos a ingresar a un enlace y posteriormente descargar un archivo malicioso que solicita permisos especiales. La misma utiliza técnicas de camuflaje, por ejemplo fingiendo ser una herramienta de protección (antivirus) brindando una figura de confianza hacia la víctima que no dudara en otorgar permisos de administrador a la aplicación.

  • A través de mensajes SMS a otros números, pertenecientes a la agenda de contactos del dispositivo móvil con el fin de engañar a otras víctimas para la descarga del malware.

Una vez que el delincuente logra realizar la invasión con el malware al dispositivo de la víctima, un delincuente podría tratar de obtener mayor control sobre el dispositivo de la siguiente manera:

  • Obteniendo permisos con el fin de interactuar con los servicios del sistema operativo, logrando que la víctima los acepte mediante ingeniería social, un malware suele solicitar permisos de administrador, permiso para instalar paquetes de origen desconocido, crear diálogos de alerta del sistema, etc.
  • Diseñando malwares que logran su cometido, y que por medio de explotaciones son capaces de realizar una escalada de privilegios en el sistema, es decir, obtener permisos de administrador (para cambiar contraseñas de bloqueo, impedir la desinstalación del malware, etc) a través de códigos maliciosos.
  • Persistencia en el dispositivo móvil el mayor tiempo posible combinando distintos mecanismos como:
    • Pretender ser una aplicación del sistema (ejemplo: Ajustes),
    • Bloquear la desinstalación una vez obtenidos los, permisos de administrador,
    • Ocultar el icono del menú de aplicación
    • Mostrar mensajes engañosos y
    • Superponer ventanas falsas para cubrir la actividad maliciosa.

Teniendo esto en cuenta, es importante dar a conocer sobre nuevas campañas de malware en Android que atacan a los servicios de banca móvil. Los mismos han sido bautizados con el nombre de Banker.BR y Evenbot respectivamente.

¿Cómo funcionan estos troyanos?

En el caso de Banker.BR, se distribuye a través de mensajes engañosos que incitan a las víctimas a acceder a un enlace, el cual los redirige a un dominio malicioso para posteriormente incitar al usuario a descargar un archivo con la supuesta "última versión" de la aplicación, y así mejorar la seguridad bancaria. Seguidamente, el troyano recolecta información del dispositivo móvil como el número del teléfono y el IMEI del dispositivo, lo transporta a un servidor Command and Control.

Luego cuando la víctima desee utilizar algún servicio de banca móvil, es desplegada una interfaz del tipo overlay (enmascara a la aplicación real) en donde la interfaz mostrada es bastante similar a la aplicación oficial utilizada para acceder a la cuenta bancaria, y en caso de haber ingresado las credenciales el delincuente se apropiará de estas.

En la imagen anteriormente expuesta, se puede observar que la interfaz overlay es prácticamente idéntica a la aplicación oficial. Aunque también cuenta con supuestos pasos de verificación de identidad sospechosos, solicitando datos completos de la tarjeta de crédito de la víctima.

El malware también saca provecho de los servicios de accesibilidad de Android, poniendo en alto riesgo los datos de las personas ya que este provee permisos para acceder a la camara, microfono, mensajes de texto, etc. Por ello, es importante tener precaución en caso de usar esta accesibilidad.

Por otro lado, el EvenBot se distribuye pretendiendo ser una aplicación legítima (por ejemplo: Adobe Flash, Microsoft Word) en tiendas de APK (Android Application Package) de origen desconocido o sitios web maliciosos, y una vez instalado en el dispositivo objetivo solicita un gran número de permisos sobre el dispositivo, entre estos se incluyen acceso a las configuraciones de accesibilidad, leer desde un almacenamiento externo, enviar y recibir mensajes, capacidad de ejecutarse en segundo plano e iniciarse por sí mismo una vez se encienda el dispositivo. En el caso de que estos permisos sean concedidos, los mismos permitirían a EventBot operar como un Keylogger (software que puede interceptar y almacenar las pulsaciones realizadas en el teclado del dispositivo afectado), así como también recuperar notificaciones de otras aplicaciones instaladas y acceder al contenido ventanas abiertas. Así como también explotar los servicios de accesibilidad de Android, para transmitir toda la información recolectada en un formato encriptado a un servidor controlado por el delincuente.

Recomendaciones:

  • Algunos aspectos a tener en cuenta para identificar un dispositivo móvil infectado:
    • En general, un mal funcionamiento del dispositivo de forma lenta o anormal,
    • Las aplicaciones se bloquean o no funcionan de manera correcta o en algunos casos no pueden iniciarse,
    • Un aumento inusual del consumo de datos y de batería y
    • La presencia de una gran cantidad de anuncios.
  • En el caso de que el dispositivo esté infectado por alguna aplicación maliciosa, se recomienda desinstalar la aplicación para acabar rápidamente con la amenaza, en caso de no ser suficiente realizar un análisis del dispositivo con un software de seguridad y eliminar archivos maliciosos detectados. Finalmente de no solucionarse el problema, se puede restaurar el dispositivo a los valores de fábrica (un borrado completo de los datos).
  • Contar con software de seguridad como Eset, MalwareBytes y Kaspersky que permita realizar análisis de malware en el dispositivo para seguidamente eliminarlos del sistema.
  • Mantener actualizado el dispositivo a la última versión, para evitar que delincuentes aprovechen posibles vulnerabilidades ya abordadas en parches de seguridad lanzados por los fabricantes.
  • Prestar atención a los detalles antes de descargar cualquier tipo de archivo, o programa de internet. Asegurarse de que estos provengan de fuentes confiables (páginas web o tiendas oficiales).

Referencias:

  • https://www.welivesecurity.com/la-es/2020/01/15/como-funciona-el-malware-dirigido-a-dispositivos-moviles/?utm_campaign=welivesecurity&utm_source=twitter&utm_medium=social
  • https://www.redeszone.net/noticias/seguridad/banker-br-troyano-bancario-android/
  • https://thehackernews.com/2020/04/android-banking-keylogger.html
  • https://www.redeszone.net/2019/04/22/identificar-eliminar-prevenir-malware-movil/


    pie.png

    CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
    Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

    Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
    República del Paraguay

    80x15.png

    Versión del Template 1.11