El departamento de malware de Hispasec ha analizado recientemente nuevas muestras del troyano bancario para Android EventBot, en las cuales se han descubierto algunos cambios interesantes.
Este troyano, cuyas primeras detecciones fueron realizadas en los inicios del mes de Marzo del pasado año, ha sufrido varias modificaciones durante los últimos meses. La mayoría de ellas ha girado entorno a cambios en el algoritmo de cifrado, aunque también ha habido otras novedades menos destacables.
En lo que respecta al cifrado y a la ofuscación, a mediados del año pasado, se detectaron en su código las primeras ofuscaciones de cadenas de texto, las cuales anteriormente podían verse en claro.
A este hallazgo, que se mantiene en las muestras analizadas en las últimas semanas, se une otra novedad. En esta ocasión, se trata de un cambio en el algoritmo de cifrado usado en el cuerpo de las comunicaciones con el servidor de control.
Y es que, aunque para la generación y el intercambio de claves compartidas con el C&C se siguen empleando algoritmos de curva elíptica, en el caso del cuerpo de las peticiones, se ha pasado a cifrar el mensaje usando el algoritmo ChaCha20 en lugar del RC4, algoritmo que se había estado utilizando hasta ahora según los análisis realizados.
Por otra parte, también se han detectado en las muestras modificaciones en SharedPreferences, las cuales recogen datos tales como URLs de distintos servidores de control y comando. En concreto, las preferencias se encuentran ahora cifradas mediante el algoritmo mencionado previamente, pero la clave se calcula a partir de realizar ciertas operaciones con un conjunto de valores del Android ID del dispositivo y varias constantes que aparecen hardcodeadas y cifradas en el código.
Estas, junto a la agregación de la capacidad de robo de datos de la agenda de contactos, que no estaba implementada en otras versiones, son algunas de las novedades destacadas encontradas en las muestras detectadas recientemente, las cuales están disponibles en Koodous para su análisis:
| SHA256 |
| e6e736df1923c47f6624dab18bf6a341995b5e756395256aa0b3f4c43594481a |
| 4470b10756c9910d57cf45343a582a7dab7e6ab8252b03f2463c057ada3f379e |
Cómo vemos, parece ser que el equipo de desarrollo del troyano EventBot sigue interesado en dificultar su análisis y la detección del mismo, algo que hemos visto en muchas ocasiones. Si bien, este troyano bancario para Android tiene algunas peculiaridades, lo cual es un motivo más para seguir su evolución y la de otras familias similares susceptibles de adoptar cualquiera de sus particularidades.
Más información:
New #Eventbot samples uploaded to @koodous_project.
https://twitter.com/alberto__segura/status/1360172002544394241/
Departamento de Malware Hispasec. Alberto Segura
https://hispasec.com/es/services/antifraud
Nuevo malware bancario de Android roba contraseñas, datos privados y hace de keylogger. Daniel Púa
https://unaaldia.hispasec.com/2020/04/nuevo-malware-bancario-de-android-roba-contrasenas-datos-privados-y-hace-de-keylogger.html
Deja una respuesta