MysteryBot: El nuevo malware de Android que fusiona keylogger, ransomware y troyano bancario

El malware de Android MysteryBot apunta a aplicaciones bancarias

Los investigadores de seguridad de ThreatFabric han descubierto una forma experimental de malware para Android que aún está en desarrollo. Según los investigadores, el nuevo malware combina las características de un troyano bancario, un keylogger y ransomware que apunta a dispositivos Android que funcionan con 7.0 o 8.0.

Apodado como MysteryBot, este malware presenta similitudes sorprendentes con el infame LokiBot que causó estragos el año pasado, aunque con nuevas características engañosas. Esto significa que es probable que haya sido desarrollado por el mismo creador de malware. Inicialmente, se pensó que era una versión revisada de LokiBot, los investigadores encontraron que el malware tenía mucho más almacenado en él.

“Durante la investigación de su actividad en la red, descubrimos que MysteryBot y LokiBot, el banquero de Android, están funcionando en el mismo servidor C&C [comando y control]. Esto nos llevó rápidamente a una conclusión temprana de que este malware recién descubierto es una actualización de Lokibot o otro troyano bancario desarrollado por el mismo actor”, declaró ThreatFabric en una publicación de blog.

MysteryBot exhibe capacidades excepcionales, tomando el control total del dispositivo afectado. Es capaz de realizar diversas actividades maliciosas, como hacer llamadas telefónicas, robar información de contacto, copiar mensajes de texto, reenviar llamadas entrantes a otro dispositivo y funcionar como un keylogger. También puede cifrar todos los archivos del dispositivo en el almacenamiento externo y eliminar toda la información de contacto en el dispositivo.

El malware ingresa al dispositivo disfrazándose como una aplicación de Adobe Flash Player para Android. “En general, el consumidor debe ser consciente de que todas las llamadas ‘aplicaciones de Flash Player (actualización)’ que se pueden encontrar dentro y fuera de las diversas tiendas de aplicaciones son malware”, dijo ThreatFabric a Bleeping Computer.

“Muchos sitios web aún requieren que los visitantes tengan soporte para Flash (que no ha estado disponible en Android durante muchos años), lo que lleva a los usuarios de Android a intentar encontrar una aplicación que les permita usar ese sitio web”, agregó el portavoz. “Al final, solo terminarán instalando malware.”

Explicando más, los investigadores dijeron: “Se ha concebido y se está utilizando una nueva técnica, que abusa del permiso PACKAGE_USAGE_STATS de Android (comúnmente llamado permiso de Acceso a Uso). El código de MysteryBot se ha consolidado con la técnica llamada PACKAGE_USAGE_STATS. Debido a que abusar de estos permisos de Android requiere que la víctima proporcione los permisos de uso, MysteryBot emplea el popular AccessibilityService, permitiendo que el troyano habilite y abuse de cualquier permiso requerido sin el consentimiento de la víctima.”

El objetivo principal del malware MysteryBot es, según se informa, apuntar a aplicaciones bancarias, aunque el malware puede hacer mucho más que eso. MysteryBot puede llevar a cabo actividades de banca móvil bajo un disfraz legal sin el conocimiento o consentimiento de la víctima, lo que dificulta que las instituciones financieras identifiquen actividades maliciosas. Se ha concebido y se está utilizando una técnica, que abusa del

Mientras que MysteryBot actualmente no está en circulación, LokiBot se propagó anteriormente a través de spam por SMS (smishing) y correos electrónicos (phishing) que contenían enlaces a una aplicación de Android, dijo ThreatFabric a Bleeping Computer.

Se sugiere a los usuarios que, para mantener su dispositivo seguro, instalen aplicaciones de Android solo desde Google Play Store y no de ninguna otra fuente. Además, es importante saber que están descargando desde la Play Store también.

“Todavía hay muchos dropers en Google Play Store, ya que parece ser un medio eficiente de distribución”, dijo ThreatFabric. “Sin embargo, la mayoría de los troyanos bancarios de Android parecen ser distribuidos a través de smishing/phishing y carga lateral.”

Fuente: Bleeping Computer