Nuevo RAT ladrón de credenciales bancarias de Android disfrazado como Google Service Framework

El malware de Android está tomando lentamente y de manera constante el control del malware de PC. La firma de seguridad, FireEye, ha identificado un nuevo malware de Android que se disfraza como un “Google Service Framework” y roba las credenciales bancarias de los usuarios de Android. Lo que hace que el malware, que es un RAT (Herramienta de Acceso Remoto), sea único es que utiliza el Google Service Framework para eliminar las aplicaciones antivirus que se ejecutan en los teléfonos inteligentes y tabletas Android.

FireEye dice que el descubrimiento de este ladrón de credenciales bancarias HijackRAT puede ser un signo de más amenazas bancarias enfocadas en Android en el futuro por parte de su desarrollador. FireEye declaró en la publicación del blog,

“En el pasado, hemos visto malware de Android que ejecuta filtraciones de privacidad, robo de credenciales bancarias o acceso remoto por separado, pero esta muestra lleva el malware de Android a un nuevo nivel al combinar todas esas actividades en una sola aplicación. Además,” continuaron, “hemos encontrado que el hacker ha diseñado un marco para llevar a cabo el secuestro bancario y está desarrollando activamente hacia este objetivo. Sospechamos que en un futuro cercano habrá un lote de malware de secuestro bancario una vez que se complete el marco. En este momento, ocho bancos coreanos son reconocidos por el atacante, pero el hacker puede expandirse rápidamente a nuevos bancos con solo 30 minutos de trabajo.”

FireEye probó este malware con ocho aplicaciones bancarias coreanas y encontró que una vez que el malware está instalado en el dispositivo, el servidor de comando y control envía un comando para reemplazar las aplicaciones bancarias existentes. Las aplicaciones bancarias de Android requieren la instalación de ‘com.ahnlab.v3mobileplus’, una aplicación antivirus disponible en Google Play. FireEye notó que, después de la instalación, el HijackRaT eliminó la aplicación antivirus y luego procedió a reemplazar la aplicación bancaria. Este comportamiento permite que el RAT evite la detección después de la instalación tanto por parte de la aplicación antivirus como del usuario de Android, quien tiene la impresión de que la aplicación bancaria que está utilizando es genuina.

• *

Explicando el modus operandi de este RAT, el Blog dice,

“El nombre del paquete de este nuevo malware RAT (herramienta de acceso remoto) es “com.ll” y aparece como “Google Service Framework” con el icono predeterminado de Android, los usuarios de Android no pueden eliminar la aplicación a menos que desactiven sus privilegios administrativos en ‘Configuración.’ Hasta ahora, la puntuación de Virus Total de la muestra es solo de cinco detecciones positivas de 54 proveedores de antivirus. Tal malware nuevo se publica rápidamente en parte porque el servidor CNC, que utiliza el hacker, cambia tan rápidamente.”

El funcionamiento del malware se detalla en un análisis en el blog de FireEye, sin embargo, intentamos explicar brevemente su funcionamiento. Una vez que se instala la aplicación que contiene la carga útil del malware, el icono de Servicios de Google aparece en la pantalla de inicio. Cuando el usuario de Android hace clic en ese icono, aparece una nueva pantalla solicitando privilegios administrativos como cualquier otra aplicación de Android. Una vez que el usuario acepta y otorga los privilegios al malware, la opción de desinstalar se desactiva y se inicia un nuevo servicio llamado “GS”. Sin embargo, esto es solo un camuflaje para el malware, si el usuario hace clic en el icono de GS, el dispositivo muestra un mensaje de “La aplicación no está instalada” y luego se elimina a sí misma de la pantalla de inicio. Ahora el HijackRAT está en operación y si el usuario está en línea, en minutos la aplicación se conecta con el servidor de comando y control ubicado en Hong Kong y recibe una lista de tareas de él. FireEye dice que ha rastreado la dirección IP hasta Hong Kong, pero no ha identificado al autor/propietario del malware, pero basándose en la interfaz de usuario del malware, creen que probablemente el malware fue creado por un coreano y actualmente solo apunta a usuarios coreanos.

“No podemos decir si es la IP del hacker o una IP de víctima controlada por el RAT, pero la URL está nombrada según el ID del dispositivo y el UUID generado por el servidor CNC,”

Las tareas que se requieren hacer son intentar descargar una aplicación nombrada como ‘update’ y una abreviatura del nombre del banco desde el servidor de comando y control, desinstalando simultáneamente la aplicación bancaria original. Cuando se envía el comando de ‘update’ desde la herramienta de acceso remoto, se descarga una aplicación similar – ‘update.apk’ desde el servidor de comando y control y se instala en el dispositivo Android. El malware también envía todos los detalles del usuario del propietario del dispositivo Android al servidor C & C. Estos detalles incluyen números de teléfono, IDs de dispositivo, direcciones MAC y listas de contactos disponibles en el teléfono inteligente o tableta.

• *

“Dada la naturaleza única de cómo funciona esta aplicación, incluyendo su capacidad para extraer múltiples niveles de información personal e impersonar aplicaciones bancarias, una amenaza de banca móvil más robusta podría estar en el horizonte,”

El aumento en el malware que roba credenciales bancarias no es una sorpresa, pero el nivel de ingenio y la sofisticación con la que el malware ejecuta su carga útil para conectarse con el servidor C & C es una señal preocupante para Google, analistas de seguridad y la comunidad de Android.