Se encontró un conjunto de lanzadores de de que se infiltraban en la tienda Google Play para instalar troyanos bancarios que pretendÃan ser actualizaciones de aplicaciones.
Los dropperes de malware son una categorÃa difÃcil de aplicaciones para detener porque no contienen código malicioso en sà mismos y, por lo tanto, pueden pasar más fácilmente las revisiones de Google Play cuando se envÃan a la tienda.
Al mismo tiempo, no levantan sospechas entre los usuarios, ya que brindan la funcionalidad anunciada y el comportamiento malicioso se lleva a cabo entre bastidores.
Los investigadores de Threat Fabric, que descubrieron el nuevo conjunto de dropperes, informan un aumento en el uso de dropperes para la distribución de malware de Android precisamente porque pueden ofrecer una vÃa sigilosa para infectar dispositivos.
Esto es especialmente importante teniendo en cuenta las restricciones y protecciones cada vez mayores introducidas con cada versión importante de Android, que evitan que el malware abuse de los permisos, obtenga módulos maliciosos de recursos externos o utilice el servicio de accesibilidad para realizar acciones ilimitadas en el dispositivo.
La primera campaña dropper detectada en por Threat Fabric a principios de octubre de 2022 impulsa el troyano bancario conocido como SharkBot.
SharkBot es un malware de Android que puede robar credenciales a través de avisos de inicio de sesión falsos superpuestos en formularios de inicio de sesión de sitios web legÃtimos, realizar registros de teclas, robar y ocultar mensajes SMS y tomar el control remoto de un dispositivo móvil.
Los investigadores descubrieron dos aplicaciones dropperes de aspecto inofensivo, 'Codice Fiscale 2022' y 'File Manager Small, Lite', que se utilizan para instalar SharkBot en los dispositivos móviles de las vÃctimas.
La primera aplicación, 'Codice Fiscale 2022', se disfraza como una herramienta para calcular los pagos de impuestos en Italia y se ha descargado 10,000 veces.
Cuando un usuario instala la aplicación dropper maliciosa, eventualmente le pedirá que instale una actualización falsa, que instala el malware SharkBot en su dispositivo.
Para instalar paquetes de Android adicionales desde un servidor remoto, Google requiere que las aplicaciones soliciten 'REQUEST_INSTALL_PACKAGES'.
Sin embargo, las versiones más nuevas de Android advierten sobre los peligros de este permiso, lo que dificulta convencer a los usuarios para que instalen la 'actualización'.
En cambio, el dropper abre una página web que se parece a Google Play, engañando al usuario para que toque el botón "Actualizar" del navegador y, por lo tanto, eludiendo la necesidad de este permiso.
La versión de SharkBot que lanza apunta a los bancos italianos que utilizan superposiciones de inicio de sesión falsas, interceptación de SMS para códigos 2FA, registro de teclas y un ladrón de cookies.
La aplicación cuentagotas File Manager ofrece un SharkBot de orientación más amplia, configurado para cargar superposiciones para bancos en el Reino Unido, Alemania, España,Polonia, Austria, AustraliaEstados Unidos.
Campaña Vultur.
Otra campaña que usa aplicaciones dropperes entrega el malware Vultur, también un troyano bancario operado por un actor de amenazas conocido como el "Proyecto Brunhilda".
Vultur puede realizar fraudes en dispositivos al ofrecer a sus operadores transmisión remota de pantalla y registro de teclas para redes sociales y aplicaciones de mensajerÃa.
La nueva variante distribuida en la última campaña también presenta un sistema nunca antes visto de registro de UI, registro de clics, gestos y todas las acciones realizadas por la vÃctima en el dispositivo.
Threat Fabric cree que los desarrolladores de malware agregaron esta función para eludir la restricción del indicador de seguridad en Android, que evita que el contenido de ciertas ventanas de aplicaciones aparezca en capturas de pantalla o screencasts.
Los dropperes que distribuye Vultur son los siguientes:.
Al igual que los dropperes de SharkBot, estos droppers también muestran una solicitud para instalar una actualización falsa, esta vez disfrazada como un aviso de Google Play.
Si el usuario permite que se instale la actualización, descargará e instalará el malware Vultur.
Para evadir la detección cuando se envÃa a Play Store, la lógica de instalación no está contenida en las aplicaciones cuentagotas, sino que se carga dinámicamente mediante un archivo dex adicional enviado por los servidores de comando y control del atacante.
Además, los dropperes utilizan el cifrado AES para ofuscar sus cadenas y ocultar todas las funciones de los escáneres automáticos.
Los dropperes van a caer.
El uso de dropperes se ha convertido en un método confiable para que las instalaciones de malware pasen por alto los escáneres y los mecanismos de detección de fraude; por lo tanto, se espera que su tasa de despliegue crezca aún más.
“La distribución a través de dropperes en Google Play sigue siendo la forma más “asequible” y escalable de llegar a las vÃctimas para la mayorÃa de los actores de diferente nivel”, advierte Threat Fabric.
"Si bien las tácticas sofisticadas, como la entrega de ataques orientada al teléfono, requieren más recursos y son difÃciles de escalar, los droppers en las tiendas oficiales y de terceros permiten que los actores de amenazas lleguen a una amplia audiencia desprevenida con esfuerzos razonables".
La única desventaja de los dropperes es la necesidad de involucrar a la vÃctima en al menos una acción manual, ya que debe aceptar manualmente la instalación de las cargas útiles, que es su momento más vulnerable.
Sin embargo, es probable que el uso de sitios web e interfaces convincentes siga permitiendo la instalación de malware de esta manera.
Debido a esto, siempre es importante nunca permitir actualizaciones de fuentes remotas si es posible y analizar las URL para confirmar que está instalando aplicaciones desde la tienda oficial de Google Play en lugar de un sitio de terceros.
SÃguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario