Como es sabido, los dispositivos móviles Android no están a salvo de ser afectados por cualquier tipo de malware, ya que cada año se actualizan o diseñan nuevas familias con el fin de comprometer este tipo de dispositivos. Estas son distribuidas a través de la Play Store, a través de markets no oficiales e incluso redes sociales.
Hydra es una de estas familias, siendo un troyano bancario para Android que está basado en la superposición, algo similar a las famosas familias Anubis o Cerberus. En sus inicios, estaba dirigido exclusivamente al sector bancario turco, sin embargo, en las últimas muestras estudiadas, se ha detectado la incorporación de nuevas entidades de Europa y Latinoamérica.
Lo realmente novedoso es que también se han incluido un gran número de ‘exchanges’ de criptomonedas en la lista de entidades a atacar, haciendo posible el robo de las cuentas de los usuarios e incluso ‘wallets’.
Esta familia no es nueva, se detectó por primera vez en 2018 pero no es hasta 2019 cuando el malware comenzó a incorporar funcionalidades de troyano bancario.
Como toda aplicación maliciosa, esta intentará obtener repetidamente todos los permisos del dispositivo de manera insistente, provocando que el usuario se vea obligado a otorgar los permisos, debido a que entra en bucle hasta que estos son aceptados. Los permisos son los siguientes:
Una vez obtenga estos permisos se ocultará el icono de la aplicación produciendo que sea muy complicado para el usuario desinstalar la muestra. Además, el malware se encontrará monitorizando el acceso del usuario a los ajustes del sistemas y cualquier intento de deshacer los permisos será bloqueado.
En cuanto a las comunicaciones de red en la segunda petición al servidor remoto recibe un APK con el payload real. La muestra inicial únicamente hace de dropper/loader.
En posteriores peticiones recibe la configuración del servidor:
Esta familia cuenta con una gran cantidad de características que hacen del malware algo especial. Estas son las siguientes:
- Anti-Emulación: Con el fin de evitar que se ejecute en entornos de análisis dispone de diferentes comprobaciones.
- Control remoto del dispositivo: Se descarga la aplicación TeamViewer para luego después ocultar el icono y utilizarla para tomar el control del dispositivo.
- Monitorización de los SMS: Permite ver todos los mensajes SMS del dispositivo de la víctima, tanto la aplicación por defecto como otras aplicaciones que se utilizan para el mismo fin.
- Monitorización de notificaciones: Observa y controla todas las notificaciones del dispositivo.
- Control de aplicaciones: Permite instalar y desinstalar cualquier aplicación.
- Componente PIN: Métodos para controlar y resetear el PIN del dispositivo.
- Control de códigos USSD.
- SOCKS5: Implementa un servidor proxy SOCKS5.
- Keylogger: Capaz de registrar las pulsaciones que se realizan en el teclado.
- Comandos: Gestor de comandos recibidos por el C2.
- Inyecciones: Permite hacer inyecciones de cookies/Webviews.
Los países de las nuevas entidades afectadas
- Argentina (ar)
- Canadá (ca)
- Bélgica (be)
- Portugal (pt)
- Colombia (co)
- República Checa (cz)
- Alemania (de)
- Reino Unido (uk)
- España (es)
- Estados Unidos (ue)
- Francia (fr)
- Italia (it)
- Hungría (hr)
- Israel (il)
- Ucrania (io)
- Indonesia (id)
- Vietnam (my)
- Perú (pe)
- Polonia (pl)
- Arabia Saudita (sa)
Deja una respuesta