MysteryBot: un troyano bancario que ataca a Android 7 y 8
- Endpoint
El troyano funciona con el mismo servidor C&C que el troyano bancario LokiBot, lo que sugiere que es una actualización del malware o ha sido desarrollado por el mismo actor. MysteryBot aún está en desarrollo y no está ampliamente difundido.
También puedes leer... Privacidad y protección de datos en aplicaciones móviles |
Los investigadores han descubierto un nuevo troyano bancario Android que tiene sorprendentes similitudes con Lokibot, pero está repleto de nuevas funciones, sobre todo su capacidad para implementar un ataque de superposición sobre Android 7 y 8.
Los investigadores de ThreatFabric que descubrieron el troyano señalan que MysteryBot funciona con el mismo servidor de comando y control que el troyano bancario LokiBot, descubierto en 2017, lo que sugiere que es una actualización del malware o ha sido desarrollado por el mismo actor. El nuevo troyano aún está en desarrollo y no está muy difundido.
El bot cuenta con funcionalidades genéricas de troyano bancario para Android. En este sentido, una vez que un dispositivo está infectado, el ciberdelincuente puede usar los módulos de MysteryBot para hacer llamadas telefónicas, borrar información de la lista de contactos, copiar pulsaciones de teclas y encriptar archivos en dispositivos de almacenamiento externos. Sin embargo, los investigadores descubrieron que incluye nuevas funcionalidades, incluida su capacidad para superponer ataques, lo que permite a los atacantes utilizar otras aplicaciones que se ejecutan en los dispositivos infectados. Esto significa que pueden superponer páginas de phishing sobre aplicaciones legítimas.
El bot también cuenta con funcionalidades innovadoras de captura de teclas (keylogging), reduciendo efectivamente las tasas de detección y limitando la interacción del usuario requerida para habilitar el registrador. MysteryBot también incluye un módulo de ransomware, que incluye una nueva capacidad que permite al troyano cifrar todos los archivos individualmente en el directorio de almacenamiento externo, incluido cada subdirectorio. Después de eso, los archivos originales se eliminan.
ThreatFabric descubrió MysteryBot hace dos semanas, y aunque el malware no ha sido muy activo (menos de 200 infecciones), creen que se propagará ampliamente una vez que esté completamente funcional.