jueves, 23 de marzo de 2017

Mazain, un nuevo troyano bancario y su botnet asociada (I)

El malware para Android crece más cada día, además se vuelve más peligroso y con un objetivo concreto: nuestro dinero. Hemos encontrado un nuevo troyano bancario para Android del que además hemos podido acceder al panel de la botnet que lo controla.

Nos hemos encontrado en Koodous con una nueva muestra que parecía tener un comportamiento sospechoso, así que el Departamento Antifraude de Hispasec ha procedido a realizar un análisis más detallado.

¿A qué va a ser malware?

Tras el análisis dinámico y estático hemos comprobado que se trata de un troyano de evidente origen ruso que monitoriza otras aplicaciones bancarias, de pago online y similares instaladas en el dispositivo, con el objeto de capturar las credenciales introducidas. Hemos llamado "Mazain" a este troyano por la referencia a su autor ("by Maza-in") en el panel de la botnet.

Rápidamente, en un primer vistazo en Koodous ya resultan sospechosas tanto las "Actividades" como los "Servicios" que la aplicación tiene declarados en su manifiesto:

¿injectionActivity?¿goRoot? Con nombres así da para sospechar

¿injectionService? Más de lo mismo

Con estos indicios y con ya muchas sospechas de encontrarnos ante un nuevo malware, el siguiente paso es ejecutar la muestra en un dispositivo móvil. Y lo primero que encontramos es que pide permisos de administración. Otra evidencia.

¿Permisos de Administrador?
¡Es el momento de cancelar la instalación!

Y por si fuera poco, el icono desaparece de las aplicaciones disponibles y al mismo tiempo realiza un par de peticiones al C&C (Command and Control, la infraestructura mando y control):



Con todas las evidencias reunidas, solo queda pasar a realizar un análisis estático que nos ofrezca más información sobre este malware. Tras un primer examen del código vemos que contiene diferentes funcionalidades.

En primer lugar descubrimos información de la configuración del troyano, como es su punto de control, la clave con la que va a comunicarse con el servidor y el nombre de la campaña. No se puede decir que el desarrollador haya sido muy cuidadoso, ya que posteriormente hemos encontrado estos mismos datos incluidos directamente en otras partes del código ("hardcodeados").

Así siempre, por favor

También comprobamos los diferentes nombres de paquete de las aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank, Rosbank, Sberbank). El origen ruso del troyano se hace evidente.



Las intenciones son claras, inyectar su código malicioso cuando el usuario abra alguna de ellas:



Es el momento de volver al teléfono y probar el funcionamiento sobre una de ellas. En este caso Visa QiWi, un proveedor ruso de servicios de pago online:



Tras introducir las credenciales en la pantalla que nos muestra, vemos el tráfico realizado, tanto solicitando la web que ha superpuesto como la información que hemos introducido:




Además de la función de captura de credenciales de banca online, también hemos encontrado funciones para recolectar los SMS enviados y recibidos. Sin duda con el propósito de acceder a los sistemas en los que haya un doble factor de autenticación:



En una próxima entrega analizaremos la botnet, el panel y más datos interesantes sobre este nuevo malware.

De nuevo, las medidas recomendadas son las habituales: sentido común como nuestra mejor defensa, comprobar los permisos que pide la aplicación cuando se instala y una red de seguridad por si falla nuestra intuición. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad.



Antonio Sánchez

miércoles, 22 de marzo de 2017

Mozilla corrige la vulnerabilidad del Pwn2Own

Mozilla ha publicado un boletín de seguridad (del MFSA 2017-08) destinado a corregir la vulnerabilidad crítica que afecta a sus navegadores web Firefox y Firefox ESR anunciada en el concurso Pwn2Own.

Como ya describimos en nuestra crónica del concurso Pwn2Own el equipo Chaitin Security Research Lab (@ChaitinTech) consiguió un desbordamiento de entero en Mozilla Firefox (con CVE-2017-5428), concretamente en la función createImageBitmap(). En su aviso, Mozilla aclara que esta función se ejecuta en el contexto de la sandbox por lo que requiere una segunda vulnerabilidad para lograr el compromiso del equipo. Precisamente el equipo Chaitin en su demostración empleó un búfer sin inicializar en el kernel de Windows para elevar sus privilegios y conseguir el ataque exitoso. Lo que les permitió ganar 30.000 dólares.

Como ya anunciamos empezamos a ver como los fabricantes publican actualizaciones para corregir los fallos descubiertos. Mozilla no ha tardado en reaccionar y publica las versiones 52.0.1 de Firefox y Firefox ESR. Se encuentran disponibles para su descarga a través de los canales habituales.

Más información:

Mozilla Foundation Security Advisory 2017-08
integer overflow in createImageBitmap()

una-al-dia (21/03/2017) El Pwn2Own 2017 causa estragos en navegadores y sistemas operativos





Antonio Ropero
Twitter: @aropero