Los investigadores de ciberseguridad han descubierto media docena de nuevas familias de malware para Android que cuentan con capacidades para robar datos de dispositivos comprometidos y realizar fraudes financieros.
El malware para Android abarca desde troyanos bancarios tradicionales como PixRevolución, TaxiSpy RATA, BeatBanker, miraxy RATA del olvido a herramientas completas de administración remota como SURXRAT.
PixRevolution, según Zimperium, apunta a la plataforma de pago instantáneo Pix de Brasil, secuestrando las transferencias de dinero de las víctimas en tiempo real para dirigirlas a los actores de la amenaza en lugar del beneficiario previsto.
«Esta nueva cepa de malware opera sigilosamente dentro del dispositivo hasta el momento en que la víctima inicia una transferencia Pix», afirma el investigador de seguridad Aazim Yaswant. dicho. «Lo que distingue a esta amenaza de los troyanos bancarios convencionales es su diseño fundamental: un operador humano o agente de IA participa activamente en el extremo remoto, observando instantáneamente la pantalla del teléfono de la víctima, preparado para actuar en el momento preciso de la transacción».
El malware de Android se propaga a través de páginas falsas de listas de aplicaciones de Google Play Store para aplicaciones como Expedia, Sicredi y Correios para engañar a los usuarios para que instalen los archivos APK del dropper malicioso. Una vez instaladas, las aplicaciones instan a los usuarios a habilitar los servicios de accesibilidad para lograr sus objetivos.
También se conecta a un servidor externo a través de TCP en el puerto 9000 para enviar mensajes de latido periódicos que contienen información del dispositivo y activar la captura de pantalla en tiempo real utilizando la API MediaProjection de Android. La funcionalidad principal de PixRevolution, sin embargo, es monitorear la pantalla de la víctima y ofrecer una superposición falsa tan pronto como la víctima ingresa la cantidad deseada y el clave de foto del destinatario para iniciar el pago.
En ese momento, el troyano muestra una superposición WebView falsa que dice «Aguarde…» (que significa «esperar» en portugués/español), mientras, en segundo plano, edita la clave Pix con la del atacante para completar la transferencia de fondos. En la etapa final, se elimina la superposición y a la víctima se le muestra una pantalla de confirmación de «transferencia completa» en la aplicación Pix.
«Desde la perspectiva de la víctima, no ocurrió nada inusual», dijo Yaswant. «La aplicación mostró brevemente un indicador de carga, algo que ocurre rutinariamente durante operaciones bancarias legítimas. La transferencia fue confirmada exitosamente. La cantidad que pretendían enviar fue deducida de su cuenta».
«Sólo más tarde, a veces mucho más tarde, la víctima descubre que el dinero fue a la cuenta equivocada. Y como las transferencias Pix son instantáneas y definitivas, la recuperación es extraordinariamente difícil».
Los usuarios brasileños también se han convertido en el objetivo de otra campaña de malware basada en Android llamada BeatBanker, que se propaga principalmente a través de ataques de phishing a través de un sitio web disfrazado de Google Play Store. BeatBanker recibe su nombre del uso de un mecanismo de persistencia inusual que implica reproducir en bucle un archivo de audio casi inaudible, una grabación de 5 segundos con palabras chinas, para evitar que se termine.
Además de incorporar comprobaciones de tiempo de ejecución para entornos emulados o de análisis, el malware monitorea la temperatura y el porcentaje de la batería y verifica si el usuario está usando el dispositivo para iniciar o detener el minero Monero según sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para comando y control (C2).
«Para lograr sus objetivos, los APK maliciosos llevan múltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar completamente el dispositivo y falsificar pantallas, entre otras cosas», Kaspersky dicho. «Cuando el usuario intenta realizar una transacción USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, reemplazando de forma encubierta la dirección de destino con la dirección de transferencia del actor de la amenaza».
El módulo bancario también monitorea navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser hasta las URL a las que accede la víctima. Además, admite la capacidad de recibir una larga lista de comandos del servidor para recopilar información personal y obtener un control total del dispositivo.
Se ha descubierto que en iteraciones recientes de la campaña se elimina BTMOB RAT en lugar del módulo bancario. Proporciona a los operadores control remoto integral, acceso persistente y vigilancia de dispositivos comprometidos. Se considera que BTMOB es una evolución de las familias CraxsRAT, CypherRAT y SpySolr, todas las cuales han sido vinculadas a un actor de amenazas sirio que se conoce con el alias en línea EVLF.
«También vimos la distribución y venta de código fuente BTMOB filtrado en algunos foros de la web oscura», dijo el proveedor de seguridad ruso. «Esto puede sugerir que el creador de BeatBanker adquirió BTMOB de su autor original o de la fuente de la filtración y lo está utilizando como carga útil final».
TaxiSpy RAT, similar a PixRevolution, abusa del servicio de accesibilidad de Android y de las API MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenidos del portapapeles, lista de aplicaciones instaladas, notificaciones, PIN de la pantalla de bloqueo y pulsaciones de teclas, así como apuntar a aplicaciones bancarias, criptomoneda y gubernamentales rusas al ofrecer superposiciones para llevar a cabo el robo de credenciales.
El malware combina la funcionalidad del troyano bancario tradicional con capacidades RAT completas, lo que permite a los actores de amenazas recopilar datos confidenciales y ejecutar comandos enviados a través de mensajes push de Firebase. Se han publicado varias muestras de TaxiSpy. descubierto tanto por CYFIRMA como por Zimperium, lo que indica esfuerzos activos por parte de los atacantes para evadir la detección basada en firmas y las defensas de listas negras.
«El malware aprovecha técnicas de evasión avanzadas, como el cifrado de biblioteca nativo, la ofuscación de cadenas XOR y el control remoto tipo VNC en tiempo real a través de WebSocket», CYFIRMA dicho. «Su diseño permite una vigilancia integral de los dispositivos, incluidos SMS, registros de llamadas, contactos, notificaciones y monitoreo de aplicaciones bancarias, lo que destaca su enfoque específico de la región y motivado financieramente».
Otro troyano bancario de Android digno de mención es miraxque ha sido anunciado por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2500 dólares por una versión completa o 1750 dólares por una variante ligera. Mirax afirma ofrecer superposiciones bancarias, recopilación de información (por ejemplo, pulsaciones de teclas, SMS, patrones de bloqueo) y un proxy SOCKS5 para enrutar el tráfico malicioso a través de dispositivos comprometidos.
Mirax no es la única oferta de Android MaaS detectada en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por unos 300 dólares al mes (o 1.900 dólares al año y 2.200 dólares por acceso de por vida) y pretende eludir las funciones de detección y seguridad de los dispositivos de los principales fabricantes.
Una vez instalado, el malware emplea un mecanismo automatizado de concesión de permisos que no requiere interacción por parte de la víctima. Este enfoque, según el vendedor, funciona en MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).
«Lo que lo distingue no es una característica única. Es la combinación: omisión de permisos automatizada, control remoto oculto, persistencia profunda y un constructor de apuntar y hacer clic que pone todo al alcance de posibles piratas informáticos incluso con el nivel más mínimo de habilidad técnica», Certos dicho.
«Google ha hecho de las restricciones progresivas sobre el abuso de los servicios de accesibilidad una prioridad en las sucesivas versiones de Android. Una herramienta que elude de manera creíble esas protecciones en la última versión, y lo hace en dispositivos de Samsung, Xiaomi, OPPO y otros, representa un verdadero desafío para las defensas a nivel de plataforma».
También se distribuye comercialmente a través de un ecosistema MaaS basado en Telegram una familia de malware para Android llamada SURXRATque se considera una versión mejorada de Arsink. El malware abusa de los permisos de accesibilidad para un control persistente y se comunica con una infraestructura C2 basada en Firebase para controlar los dispositivos infectados. El malware se comercializa en un canal de Telegram gestionado por un actor de amenazas indonesio.
Lo notable de algunas de las nuevas muestras es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detrás del malware están experimentando con capacidades de inteligencia artificial (IA), junto con la vigilancia tradicional. Dicho esto, la descarga del módulo LLM se activa solo cuando aplicaciones de juego específicas están activas en el dispositivo de la víctima, o cuando recibe nombres de paquetes de destino alternativos de forma dinámica desde el servidor.
- Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax)
- Free Fire x JUJUTSU KAISEN (com.dts.freefireth)
Algunas muestras de SURXRAT también incorporan un módulo de bloqueo de pantalla estilo ransomware que hace posible que un operador remoto se apodere del control del dispositivo de una víctima y niegue el acceso mostrando un mensaje de bloqueo de pantalla completa hasta que se realice un pago.
«Esta evolución destaca cómo los actores de amenazas continúan reutilizando y ampliando los marcos RAT de Android existentes, acelerando los ciclos de desarrollo de malware y permitiendo la rápida introducción de nuevas funcionalidades de vigilancia y control», dijo Cyble. «La experimentación observada con la integración de grandes modelos de IA indica además que los actores de amenazas están explorando activamente tecnologías emergentes para mejorar la efectividad operativa y evadir la detección».
