En
nuestra búsqueda diaria de aplicaciones maliciosas hemos encontrado un troyano bancario conocido como Bankbot
en Google Play.
Todo indica que está en una etapa
temprana por lo que no ha tenido tiempo suficiente para propagarse, a pesar de
ello el estado actual indica alrededor
de 500 instalaciones. Desde luego no son muchas, pero el hecho de
encontrarse en Google Play es algo que ha hecho saltar nuestras alarmas y
considerarlo bastante destacable.
 |
| ¡Cuidado con esta! Que no hace lo que dice |
Detrás de este aparentemente inocente "Downloader for videos" encontramos que la verdadera naturaleza de la aplicación no es realmente ver o descargar vídeos, sino robar datos de los usuarios.
Una vez que se ejecuta en el
dispositivo de la víctima se comunica remotamente en segundo plano con su
servidor comando y control ("Command
and Control", C&C o C2).
http://ughdsay3[.]tk es el
dirección que emplea el banker como C&C para comunicarse.
tuk_tuk.php y set_data.php son habitualmente
los archivos remotos empleados para realizar las comunicaciones. Además, en
esta muestra los datos transmitidos pueden ser descifrados.
La aplicación también espera la respuesta del C&C remoto para recibir la orden de obtener el APK final y de esa manera troyanizar el dispositivo completamente.
En el momento de escribir esta
noticia la aplicación cuenta con 500 instalaciones y 9 comentarios positivos
empleados para engañar al usuario para que confíe en la aplicación.
A pesar de usar un certificado evidentemente falso ha eludido los controles de Google Play, que como ya se ha demostrado en más de una ocasión no son infalibles.
 |
| Comprobamos el certificado desde Koodous |
La muestra se puede encontrar en:
Muestra en Google Play:
El correo empleado en la página de la aplicación en Google
Play es hgerritsen0@gmail.com
En este caso el malware se
encuentra disponible en Google Play, por lo que como siempre la recomendación
pasa por extremar la precaución, especialmente en los dispositivos móviles.
El sentido común suele ser una buena defensa, comprobar los permisos que pide
la aplicación cuando se instala y por si falla nuestra intuición disponer de
algún software de seguridad. Nuestra propuesta pasa por la instalación de
Koodous, un antivirus ideado por y para la comunidad, y que puede proteger de casos como este.
Por otra parte, recordamos que si
recibís correos que consideréis falsos, con facturas falsas, intentos de fraude
o sospechéis que incluye malware podéis enviárnoslo a report@hispasec.com.
Más información:
Bankbot on Google Play
Fernando Díaz
