• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Troyano bancario Bankbot en Google Play

Troyano bancario Bankbot en Google Play

30 mayo, 2017 Por Hispasec Dejar un comentario

En nuestra búsqueda diaria de aplicaciones maliciosas hemos encontrado un troyano bancario conocido como Bankbot en Google Play.
Todo indica que está en una etapa temprana por lo que no ha tenido tiempo suficiente para propagarse, a pesar de ello el estado actual indica alrededor de 500 instalaciones. Desde luego no son muchas, pero el hecho de encontrarse en Google Play es algo que ha hecho saltar nuestras alarmas y considerarlo bastante destacable.
¡Cuidado con esta! Que no hace lo que dice
Detrás de este aparentemente inocente «Downloader for videos» encontramos que la verdadera naturaleza de la aplicación no es realmente ver o descargar vídeos, sino robar datos de los usuarios.
Una vez que se ejecuta en el dispositivo de la víctima se comunica remotamente en segundo plano con su servidor comando y control («Command and Control«, C&C o C2).
http://ughdsay3[.]tk es el dirección que emplea el banker como C&C para comunicarse.

tuk_tuk.php y set_data.php son habitualmente los archivos remotos empleados para realizar las comunicaciones. Además, en esta muestra los datos transmitidos pueden ser descifrados.
La aplicación también espera la respuesta del C&C remoto para recibir la orden de obtener el APK final y de esa manera troyanizar el dispositivo completamente.
En el momento de escribir esta noticia la aplicación cuenta con 500 instalaciones y 9 comentarios positivos empleados para engañar al usuario para que confíe en la aplicación.
A pesar de usar un certificado evidentemente falso ha eludido los controles de Google Play, que como ya se ha demostrado en más de una ocasión no son infalibles.
Comprobamos el certificado desde Koodous 

La muestra se puede encontrar en:

https://koodous.com/apks/aeaccdc3fb0ddb674770ff87007b4454b0a8d706ebd57ee7e75599ca7bda19d8
Muestra en Google Play:
https://play.google.com/store/apps/details?id=com.downloadervideo
El correo empleado en la página de la aplicación en Google Play es hgerritsen0@gmail.com
En este caso el malware se encuentra disponible en Google Play, por lo que como siempre la recomendación pasa por extremar la precaución, especialmente en los dispositivos móviles. El sentido común suele ser una buena defensa, comprobar los permisos que pide la aplicación cuando se instala y por si falla nuestra intuición disponer de algún software de seguridad. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad, y que puede proteger de casos como este.

Por otra parte, recordamos que si recibís correos que consideréis falsos, con facturas falsas, intentos de fraude o sospechéis que incluye malware podéis enviárnoslo a report@hispasec.com.

Más información:
Bankbot on Google Play
http://blog.koodous.com/2017/05/bankbot-on-google-play.html
Fernando Díaz
fdiaz@hispasec.com

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Archivado en: Malware Etiquetado con: Koodous

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Empleados de empresas de fusiones y adquisiciones, nuevo "target" de los Ciberdelincuentes.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks
  • Recomendaciones básicas para evitar ataques del Ransomware Conti
  • El CERT ucraniano advierte a los ciudadanos sobre una nueva ola de ataques que distribuyen el malware «Jester»
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Se ha descubierto como ejecutar malware en iPhone incluso cuando esté apagado
  • SonicWall corrige varias vulnerabilidades que afectan a los dispositivos SMA de la serie 1000
  • Algunos de los 100.000 sitios web más populares recogen todo lo que escribes
  • Empleados de empresas de fusiones y adquisiciones, nuevo «target» de los Ciberdelincuentes.
  • Múltiples vulnerabilidades críticas en routers de InHand Networks

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec