FakeBank: nuevo malware móvil que ataca a usuarios de bancos rusos

El año pasado, vimos que el malware Fanta SDK atacaba a los usuarios del banco ruso Sberbank y empleaba medidas defensivas únicas. Ahora, ha aparecido otra familia de malware que ataca a aún más bancos rusos, mientras emplea nuevas y evolucionadas técnicas de ofuscación. Descubierta por investigadores de Trend Micro, esta familia se llama FakeBank, y hasta ahora las muestras recopiladas se cuentan por miles.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Las muestras muestran que el malware se dirige no solo a Sberbank, sino también a otros bancos rusos como Letobank y el banco VTB24. Las muestras presentan nombres de aleatorios y se hacen pasar principalmente por software de gestión de SMS / MMS para atraer a los usuarios a que los descarguen. En realidad, estas capacidades de gestión de SMS se vuelven contra la víctima, ya que, una vez instalado, el malware intercepta SMS para robar fondos de usuarios infectados a través de sus sistemas de banca móvil.

Uno de los elementos notables de este malware es la forma en que oculta su carga útil. FakeBank presenta diferentes comportamientos que dificultan que los usuarios infectados se deshagan de él y que las soluciones de seguridad lo detecten. La aplicación maliciosa puede controlar la función de red abierta y cerrada de un usuario infectado y conectarse de forma silenciosa a Internet. Esto significa que puede enviar información a su servidor de comando y control (C&C) sin que el usuario lo sepa. También inspecciona el dispositivo en busca de software antivirus, y si es detectado, saldrá sin ejecutar ningún comportamiento malicioso. Esta es una táctica que lo ayuda a permanecer oculto.

El malware también roba información del dispositivo y la carga en el servidor de C&C. Los datos confidenciales recopilados incluyen números de teléfono de los usuarios, una lista de aplicaciones bancarias instaladas, el saldo en cualquier tarjeta bancaria vinculada e incluso información de ubicación. Para garantizar aún más el éxito de la recopilación de datos, el malware prohíbe al usuario abrir la configuración del dispositivo, lo que probablemente evitará la desinstalación. Algunas muestras detactadas también requerían privilegios de administrador del usuario, lo que otorga al malware aún más acceso al dispositivo.

El malware va más allá e incluso se hace con los SMS del usuario. Primero reemplaza el programa de gestión de SMS predeterminado con el suyo y oculta el ícono. De esta forma, puede cargar y analizar cualquier mensaje recibido e incluso eliminar cualquier mensaje localmente. Esto significa que cualquier verificación o consulta del banco al usuario puede ser interceptada y eliminada. Incluso puede llamar a un número de teléfono asignado, enviar SMS y robar registros de llamadas y listas de contactos.

Lo más significativo es que todo este acceso al SMS del dispositivo le da al malware una vía para robar dinero de la cuenta bancaria de los usuarios. Dado que los usuarios vinculan sus cuentas bancarias a sus dispositivos y reciben notificaciones en el mismo dispositivo, el malware puede interceptar información sensible de la cuenta. A continuación, puede restablecer las contraseñas de la cuenta bancaria a través de los mensajes de código de seguridad recibidos y comenzar a transferir dinero.

FakeBank también impide que el usuario abra la aplicación legítima del banco objetivo, para evitar cualquier modificación en la relación entre el número de la tarjeta bancaria y su número de teléfono. Podemos suponer que el desarrollador de malware está muy familiarizado con el formato del mensaje bancario y el proceso de transferencia, ya que C&C anota y codifica todas las notificaciones de pago por SMS.