Nueva versión del troyano bancario ‘Marcher’ para Android

‘Marcher’ es un troyano bancario destinado, principalmente, a robar datos bancarios, incluyendo datos de tarjetas de créditos y credenciales de acceso al sistema bancario. Para llevar a cabo el robo de datos, este malware actúa de forma similar a otras familias de malware para Android, comprobando en segundo plano las aplicaciones activas en cada momento. Si se abre una aplicación bancaria o cualquier otra aplicación afectada, el troyano muestra una ventana falsa con la imagen del banco afectado y solicitando los datos de acceso, simulando a la aplicación real para engañar al usuario y obtener las credenciales.

El equipo de análisis de malware de Hispasec ha analizado la nueva muestra, y como resultado del análisis podemos apreciar que esta nueva versión del malware introduce algunos cambios con respecto a versiones anteriores del mismo.

En primer lugar, la aplicación conecta al servidor de control a través del protocolo HTTP. Realiza una petición a las URLs hxxp://aperdosali.top/get_key y hxxp://aperdosali.top/get_file, para descargar un fichero cifrado y la clave de descifrado. Dicho fichero es un fichero APK, es decir, una nueva aplicación. Pero esta no se instalará en el dispositivo, sino que se utilizará para cargar dinámicamente el código malicioso que se encarga de mostrar y ocultar las inyecciones (ventanas falsas para robar los credenciales).

Una vez descargado el código del inyector, la aplicación envía información sobre el dispositivo (imei, número de teléfono, aplicaciones instaladas, etc.).

Como podemos apreciar en la imágenes, todo el envío de información al servidor de control se hace cifrando la información e indicando el identificador del ‘bot’ (dispositivo infectado).

Esta versión de ‘Marcher’ incluye la lista de bancos y aplicaciones afectadas cifrada, por lo que no es posible acceder a ella directamente. La lista de aplicaciones afectadas y el resto de la configuración del troyano se encuentran entre los ‘assets’ de la aplicación cifrados con algoritmo DES y usando la clave 6b34f4f6.

Además de la posibilidad de mostrar una ventana falsa con una versión web para el robo de credenciales, esta versión incluye inyectores nativos específicos. Para estos inyectores, se realiza una petición a la URL hxxp://aperdosali.top/inj_pkg/BASE64_PACKAGE_ID , donde BASE64_PACKAGE_ID es el identificador del paquete codificado en Base64. Como respuesta, el servidor devuelve un fichero ZIP que contiene los datos necesarios para mostrar la ventana falsa (logos de la entidad afectada y texto en el idioma que corresponda).

Y una vez descargados los datos necesarios para realizar la inyección, la aplicación espera a que el usuario abra la aplicación afectada para mostrar la ventana falsa.

Una vez que el usuario rellena los datos y los envía, la aplicación oculta la ventana falsa y muestra la aplicación legítima mientras envía los datos al servidor de control a través de la URL hxxp://aperdosali.top/api/form. En el caso de las inyecciones que solicitan datos de tarjetas de credito, estos se envían al servidor de control a través de la URL hxxp://aperdosali.top/api/cards.

La muestra analizada afecta a aplicaciones de entidades bancarias Europeas (Austria, Alemania, Francia, Polonia, Turquía), de Estados Unidos, China, Singapure y Taiwan.

Como siempre, desde Hispasec recomendamos instalar aplicaciones de plataformas reconocidas como Google Play y nunca de lugares desconocidos. Y aunque se descarguen de plataformas reconocidas, siempre deben tener cuidado porque incluso en estas plataformas podemos encontrar de vez en cuando alguna aplicación maliciosa, como ya se hemos visto en otras ocasiones.

IoCs:
C2
aperdosali.top
comedirtad.top
47.74.70.68

SHA256 de la muestra
2f748905818f8385f3d43212a60f9ee113d59b6b7bf3fd195a2c790ccca92a07

SHA256 del Inyector
a203d33154941f03ed43f9ff3688dba176554cf157aed2b9a65eef176720aaa3