El malware para Android Anubis regresa con más de 17.000 muestras
- Endpoint
Sus capacidades de robo de información son similares a las versiones anteriores, incluyendo, capturas de pantalla del dispositivo infectado, y envío, recepción y borrado de SMS. Anubis se dirige a un total de 188 apps relacionadas con la banca y las finanzas, el 7% de las cuales están en España.
El panorama de las amenazas móviles en 2018 tenía troyanos bancarios que diversificaron sus tácticas para evadir la detección y monetizar aún más el malware. Es el caso de Anubis, que ha sufrido varios cambios desde que surgió por primera vez, desde su uso para el ciberespionaje hasta su actualización como un malware bancario, combinando el robo de información y las rutinas tipo ransomware. A mediados de enero de 2019, los investigadores de Trend Micro descubrieron que Anubis usaba una gran cantidad de técnicas, incluido el uso de sensores basados en movimiento para eludir el análisis de sandbox y las superposiciones para robar información de identificación personal. Las últimas muestras de Anubis (detectadas por Trend Micro como AndroidOS_AnubisDropper) no son diferentes.
Al rastrear la actividad de Anubis, los investigadores descubrieron dos servidores relacionados que contenían 17.490 muestras. Encontraron dos etiquetas en estas muestras: "Operador Güncellemesi" y "Servicios de Google". En turco, Operador Güncellemesi significa "Actualización del operador". Estas etiquetas son probablemente señuelos de ingeniería social que se utilizan para engañar a los usuarios para que descarguen una aplicación integrada en Anubis. Estas iteraciones de Anubis tienen una lista de aplicaciones financieras específicas de las que roba datos personales y financieros. Anubis ataca a un total de 188 aplicaciones relacionadas con la banca y las finanzas, el 7% de las cuales están en España.
Sus capacidades de robo de información son similares a las de las versiones anteriores del malware, incluyendo toma de capturas de la pantalla del dispositivo infectado, control del dispositivo de forma remota a través de la computación de red virtual (VNC), grabación de audio, habilitar o configurar los ajustes de administración del dispositivo, robo de la lista de contactos del dispositivo, envío o recepción de SMS, cifrado de archivos y obtención de la ubicación del dispositivo
Anubis también es capaz de secuestrar una actividad específica. El malware supervisa la actividad de las aplicaciones seleccionadas, y una vez que determina que estas aplicaciones están abiertas o en uso, el atacante puede abusar de la función WebView para mostrar el contenido de las aplicaciones en una página web. Luego se puede usar para llevar a cabo técnicas de superposición para robar datos de pago o como un vector de ataque para el phishing. Anubis también puede monitorizar las notificaciones y enviar las cadenas de información contenidas en la notificación al servidor de C&C.
