Los usuarios activos de aplicaciones de banca móvil deben saber que hay una nueva campaña de malware dirigida a clientes de los bancos más importantes en Australia, Nueva Zelanda y Turquía. El troyano bancario para Android, detectado por los productos de seguridad de ESET como Android/Spy.Agent.SI, roba las credenciales de inicio de sesión de 20 aplicaciones de banca móvil.

La lista de bancos afectados incluye los más importantes de estos tres países objetivo (en la sección final del artículo se detalla la lista de bancos completa). Gracias a su capacidad de interceptar las comunicaciones SMS, el malware también es capaz de eludir la autenticación en dos fases basada en SMS.

Análisis

El malware se hace pasar por Flash Player, y su ícono tiene un aspecto legítimo.

Estaba alojado en varios servidores (y lo sigue estando). Los servidores se registraron a fines de enero y en febrero de 2016. Cabe notar que las rutas URL a los archivos APK maliciosos se regeneran a cada hora, quizá para evitar ser detectadas por software antivirus.

Sitios maliciosos que alojan Android/Spy.Agent.SI

Sitios maliciosos que alojan Android/Spy.Agent.SI

Después de descargar e instalar la aplicación móvil, le solicita al usuario que le conceda derechos de administrador de dispositivos. Este mecanismo de autodefensa evita que se pueda desinstalar el malware desde el dispositivo. Aunque el ícono de Flash Player queda oculto a la vista del usuario, permanece activo en segundo plano.

A continuación, se comunica con un servidor remoto. La comunicación entre el cliente y el servidor se codifica en formato Base64. Primero, el malware envía información sobre el dispositivo, como el modelo, el número IMEI, el idioma, la versión del SDK e información que indica si el administrador de dispositivos está activado. Esta información se envía al servidor cada 25 segundos.

Luego reúne los nombres de los paquetes de las aplicaciones instaladas (incluyendo las aplicaciones de banca móvil) y los envía al servidor remoto. Si alguna de las aplicaciones instaladas resulta ser uno de los objetivos del malware, el servidor envía una lista completa de 49 aplicaciones móviles objetivo, aunque no las ataque directamente a todas.

El malware se manifiesta superponiéndose a otra aplicación, es decir, aparece sobre la aplicación de banca activa: esta actividad de phishing se comporta como una pantalla de bloqueo, que solo se quita cuando el usuario ingresa sus credenciales de inicio de sesión. El malware no verifica la veracidad de los datos introducidos, en cambio, los envía a un servidor remoto, momento en el cual se cierra la pantalla maliciosa superpuesta. El malware no se centra únicamente en aplicaciones de banca móvil, sino que también intenta obtener credenciales de la cuenta de Google.

Las primeras versiones eran simples, y su propósito malicioso se identificaba fácilmente. Las versiones posteriores ya presentan mejores tácticas de ofuscación y cifrado.

Resumen del proceso

Si se inicia una de las aplicaciones que constituyen el destino de ataque del malware, este se activa y superpone una pantalla de inicio de sesión falsa sobre la de banca móvil original, sin opción de cerrarla.

Comunicación con el servidor

Cuando el usuario completa sus datos personales, la pantalla falsa se cierra y se muestra la banca móvil legítima.

Como se mencionó anteriormente, toda la información que se intercambia entre el dispositivo y el servidor está codificada, a excepción de las credenciales robadas, que se envían como texto sin formato:

Credenciales enviadas como texto sin formato

El malware puede incluso evadir la autenticación en dos fases (2FA), ya que, de ser necesario, es capaz de enviarle al servidor todos los mensajes de texto recibidos. Esto le permite al atacante interceptar los mensajes de texto SMS enviados por el banco y eliminarlos inmediatamente del dispositivo del cliente, a fin de no generar ninguna sospecha.

Cómo eliminar el malware

Para desinstalar el malware, se pueden intentar dos métodos diferentes. En el primero, el usuario tiene que desactivar los derechos de administrador y luego desinstalar la aplicación "Flash Player" falsa del dispositivo. La desactivación de los privilegios de administrador puede tener dos resultados posibles.

El más simple es cuando el usuario desactiva primero los derechos de administrador en Configurar -> Seguridad -> Administradores del dispositivo -> Flash Player -> Desactivar, y luego hace caso omiso de la alerta falsa y elige Aceptar:

El usuario luego podrá desinstalar el malware desde Configurar -> Aplicaciones -> Flash Player -> Desinstalar.

La eliminación puede complicarse mucho más si el dispositivo recibe un comando desde el servidor para no permitir la desactivación de los derechos de administrador de dispositivos. En este caso, cuando el usuario intenta desactivarlo, el programa malicioso crea una actividad de superposición en primer plano, que evita que el usuario haga clic en el botón de confirmación. Por lo tanto, fallará la desactivación de los derechos de administrador:

Pantalla superpuesta mostrada por el malware

El segundo método para desactivar en forma segura los privilegios de administrador consiste en reiniciar el dispositivo en modo seguro. Cuando se arranca el dispositivo en modo seguro, no se carga ni ejecuta ninguna aplicación de terceros, por lo tanto el usuario puede desactivar en forma segura los privilegios de administrador, al igual que en el primer escenario, y desinstalar efectivamente la aplicación.

Pantallas falsas de inicio de sesión para diversas aplicaciones móviles de banca online

Información adicional

Nombre de detección de ESET:

Android/Spy.Agent.SI

Servidores de Comando y Control:

Servidores de descarga:

Bancos objetivo:

Westpac, Bendigo Bank, Commonwealth Bank, St. George Bank, National Australia Bank, Bankwest, Me Bank, ANZ Bank, ASB Bank, Bank of New Zealand, Kiwibank, Wells Fargo, Halkbank, Yapı Kredi Bank, VakıfBank, Garanti Bank, Akbank, Finansbank, Türkiye İş Bankası y Ziraat Bankası.

Nombres de paquetes objetivo:

Hashes: