Los investigadores de ciberseguridad han arrojado luz sobre dos troyanos de Android diferentes llamados BankBot-YNRK y EntregaRAT que son capaces de resumir datos confidenciales de dispositivos comprometidos.
Según CYFIRMA, que analizó tres muestras diferentes de BankBot-YNRK, el malware incorpora características para eludir los esfuerzos de observación al confirmar primero su ejecución adentro de un entorno virtualizado o emulado y luego extraer detalles del dispositivo, como el fabricante y el nombre del maniquí, para determinar si se está ejecutando en un dispositivo efectivo.
BankBot-YNRK igualmente verifica si el dispositivo es fabricado por Oppo o si se ejecuta en ColorOS, una traducción del sistema activo Android que se utiliza en dispositivos fabricados por el fabricante de equipos originales (OEM) chino.
«El malware igualmente incluye razonamiento para identificar dispositivos específicos», dijo CYFIRMA. «Verifica si el dispositivo es un Google Pixel o un dispositivo Samsung y verifica si su maniquí está incluido en una registro predefinida de modelos reconocidos o compatibles. Esto permite que el malware aplique funcionalidades u optimizaciones específicas del dispositivo solo en dispositivos específicos y evita la ejecución en modelos no reconocidos».
Los nombres de los paquetes APK que distribuyen el malware se enumeran a continuación. Las tres aplicaciones llevan el nombre «IdentitasKependudukanDigital.apk», lo que probablemente parece ser un intento de hacerse suceder por una aplicación legítima del gobierno de Indonesia indicación «Identitas Kependudukan Digital».
- com.westpacb4a.payqingynrk1b4a
- com.westpacf78.payqingynrk1f78
- com.westpac91a.payqingynrk191a
Una vez instaladas, las aplicaciones maliciosas están diseñadas para resumir información del dispositivo y establecer en cero el convexidad de varias transmisiones de audio, como música, tonos de indicación y notificaciones, para evitar que la víctima afectada reciba alertas sobre llamadas entrantes, mensajes y otras notificaciones adentro de la aplicación.
Igualmente establece comunicación con un servidor remoto («ping.ynrkone(.)en lo alto») y, al aceptar el comando «OPEN_ACCESSIBILITY», insta al agraciado a habilitar los servicios de accesibilidad para conseguir sus objetivos, incluida la extracción de privilegios elevados y la realización de acciones maliciosas.
Sin retención, el malware es capaz de apuntar solo a dispositivos Android que ejecutan las versiones 13 e inferiores, ya que Android 14, atrevido a fines de 2023, introdujo una nueva característica de seguridad que impide el uso de servicios de accesibilidad para solicitar u otorgar automáticamente permisos adicionales a las aplicaciones.
«Hasta Android 13, las aplicaciones podían eludir las solicitudes de permiso a través de funciones de accesibilidad; sin retención, con Android 14, este comportamiento ya no es posible y los usuarios deben otorgar permisos directamente a través de la interfaz del sistema», dijo CYFIRMA.
BankBot-YNRK aprovecha el servicio JobScheduler de Android para establecer persistencia en el dispositivo y respaldar que se inicie posteriormente de reiniciar. Igualmente admite una amplia tonalidad de comandos para obtener privilegios de administrador del dispositivo, regir aplicaciones, interactuar con el dispositivo, redirigir llamadas entrantes usando códigos MMI, tomar fotografías, realizar operaciones con archivos y resumir contactos, mensajes SMS, ubicaciones, listas de aplicaciones instaladas y contenido del portapapeles.
Algunas de las otras características del malware son las siguientes:
- Hacerse suceder por Google News reemplazando mediante programación el nombre y los íconos de las aplicaciones, así como iniciando «news.google(.)com» a través de WebView
- Capture el contenido de la pantalla para reedificar una «IU esquelética» de pantallas de aplicaciones, como aplicaciones bancarias, para suministrar el robo de credenciales.
- Explotar de los servicios de accesibilidad para inaugurar aplicaciones de billeteras de criptomonedas desde una registro predefinida y automatizar acciones de la interfaz de agraciado para resumir datos confidenciales e iniciar transacciones no autorizadas.
- Recuperando una registro de 62 aplicaciones financieras a las que apuntar
- Mostrar un mensaje superpuesto que afirma que se está verificando su información personal, mientras se llevan a parte acciones maliciosas, incluida solicitar permisos adicionales y agregarse como aplicación de administrador del dispositivo.
«BankBot-YNRK exhibe un conjunto integral de funciones destinadas a proseguir el entrada a holgado plazo, robar datos financieros y ejecutar transacciones fraudulentas en dispositivos Android comprometidos», dijo CYFIRMA.
La divulgación se produce cuando F6 reveló que los actores de amenazas están distribuyendo una traducción actualizada de DeliveryRAT dirigida a propietarios rusos de dispositivos Android bajo la apariencia de servicios de entrega de alimentos, mercados, servicios bancarios, así como aplicaciones de seguimiento de paquetes. Se estima que la amenaza móvil está activa desde mediados de 2024.
Según la empresa rusa de ciberseguridad, el malware se anuncia bajo un maniquí de malware como servicio (MaaS) a través de un bot de Telegram llamado Bonvi Team, lo que permite a los usuarios entrar a un archivo APK o enlaces a páginas de phishing que distribuyen el malware.
Luego se acerca a las víctimas a través de aplicaciones de transporte como Telegram, donde se les pide que descarguen la aplicación maliciosa como parte del seguimiento de pedidos de mercados falsos o para una oportunidad de empleo remoto. Independientemente del método utilizado, la aplicación solicita entrada a notificaciones y configuraciones de optimización de la pila para que pueda resumir datos confidenciales y ejecutarse en segundo plano sin ser finalizada.
Adicionalmente, las aplicaciones maliciosas vienen con capacidades para entrar a mensajes SMS y registros de llamadas, y ocultar sus propios íconos del iniciador de la pantalla de inicio, lo que dificulta que un agraciado menos habituado en tecnología pueda eliminarlas del dispositivo.
Algunas iteraciones de DeliveryRAT igualmente están equipadas para realizar ataques distribuidos de denegación de servicio (DDoS) realizando solicitudes simultáneas al enlace URL transmitido desde el servidor foráneo y lanzando actividades de captura realizando solicitudes simultáneas al enlace URL transmitido o engañando al agraciado para que escanee un código QR.
El descubrimiento de las dos familias de malware para Android coincide con un crónica de Zimperium, que descubrió más de 760 aplicaciones de Android desde abril de 2024 que hacen un mal uso de la comunicación de campo cercano (NFC) para obtener ilegalmente datos de plazo y enviarlos a un atacante remoto.
Estas aplicaciones falsas, disfrazadas de aplicaciones financieras, solicitan a los usuarios que las establezcan como su método de plazo predeterminado, mientras aprovechan la pugna de maleable basada en host (HCE) de Android para robar datos de pagos y tarjetas de crédito sin contacto.
La información se transmite a un canal de Telegram o a una aplicación de tapper dedicada operada por los actores de la amenaza. Los datos NFC robados se utilizan luego para retirar fondos de las cuentas de un agraciado o realizar compras en terminales de punto de liquidación (PoS) casi al instante.
«Se han suplantado unas 20 instituciones, principalmente bancos y servicios financieros rusos, pero igualmente organizaciones en Brasil, Polonia, la República Checa y Eslovaquia», afirmó la empresa de seguridad móvil.
