Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Estás aquí: Inicio / Malware / Troyano bancario Bankbot en Google Play

Troyano bancario Bankbot en Google Play

Por Deja un comentario

En nuestra búsqueda diaria de aplicaciones maliciosas hemos encontrado un troyano bancario conocido como Bankbot en Google Play.
Todo indica que está en una etapa temprana por lo que no ha tenido tiempo suficiente para propagarse, a pesar de ello el estado actual indica alrededor de 500 instalaciones. Desde luego no son muchas, pero el hecho de encontrarse en Google Play es algo que ha hecho saltar nuestras alarmas y considerarlo bastante destacable.
¡Cuidado con esta! Que no hace lo que dice
Detrás de este aparentemente inocente «Downloader for videos» encontramos que la verdadera naturaleza de la aplicación no es realmente ver o descargar vídeos, sino robar datos de los usuarios.
Una vez que se ejecuta en el dispositivo de la víctima se comunica remotamente en segundo plano con su servidor comando y control («Command and Control«, C&C o C2).
http://ughdsay3[.]tk es el dirección que emplea el banker como C&C para comunicarse.

tuk_tuk.php y set_data.php son habitualmente los archivos remotos empleados para realizar las comunicaciones. Además, en esta muestra los datos transmitidos pueden ser descifrados.
La aplicación también espera la respuesta del C&C remoto para recibir la orden de obtener el APK final y de esa manera troyanizar el dispositivo completamente.

En el momento de escribir esta noticia la aplicación cuenta con 500 instalaciones y 9 comentarios positivos empleados para engañar al usuario para que confíe en la aplicación.
A pesar de usar un certificado evidentemente falso ha eludido los controles de Google Play, que como ya se ha demostrado en más de una ocasión no son infalibles.

Comprobamos el certificado desde Koodous 

La muestra se puede encontrar en:

https://koodous.com/apks/aeaccdc3fb0ddb674770ff87007b4454b0a8d706ebd57ee7e75599ca7bda19d8
Muestra en Google Play:
https://play.google.com/store/apps/details?id=com.downloadervideo
El correo empleado en la página de la aplicación en Google Play es hgerritsen0@gmail.com

En este caso el malware se encuentra disponible en Google Play, por lo que como siempre la recomendación pasa por extremar la precaución, especialmente en los dispositivos móviles. El sentido común suele ser una buena defensa, comprobar los permisos que pide la aplicación cuando se instala y por si falla nuestra intuición disponer de algún software de seguridad. Nuestra propuesta pasa por la instalación de Koodous, un antivirus ideado por y para la comunidad, y que puede proteger de casos como este.

Por otra parte, recordamos que si recibís correos que consideréis falsos, con facturas falsas, intentos de fraude o sospechéis que incluye malware podéis enviárnoslo a report@hispasec.com.

Más información:
Bankbot on Google Play
http://blog.koodous.com/2017/05/bankbot-on-google-play.html
Fernando Díaz
fdiaz@hispasec.com

Interacciones del lector

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.