Análisis de malware

Vuelve el malware para Android BrazKing

2 de febrero de por Pedro Tavares

Los troyanos bancarios ponen en riesgo a los usuarios finales de Internet debido a sus técnicas sofisticadas y de ofuscación. A menudo son capaces de evadir los sistemas antivirus y EDR, como se observó en el relativamente nuevo troyano bancario brasileño MAXTRILHA.

BrazKing es uno de los troyanos bancarios más predominantes en la actualidad y afecta a los usuarios de dispositivos móviles de todo el mundo. Este malware existe desde noviembre de. Fue desarrollado por gangas brasileñas y está dirigido principalmente a usuarios móviles brasileños. Esta nueva versión trae muchas características nuevas y parece más capaz y ágil que antes.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Como se observó en otros malware de esta línea, evadió las protecciones de Google Play Store y se difundió legítimamente en la tienda oficial, aumentando el número de infecciones. En resumen, cuando los usuarios navegan por un sitio web específico, a menudo difundido a través de campañas de ingeniería social, se les pide que instalen una nueva aplicación que se adapte a las nuevas actualizaciones. La 1 a continuación muestra una impresión de la ventana maliciosa en idioma portugués.

1: BrazKing inicia su cadena de infección con un mensaje de ingeniería social ( fuente ).

Después de hacer clic en el botón, la aplicación se descarga mediante el navegador web móvil y el administrador de paquetes la instala en el dispositivo. Debido a esto, se debe desactivar la opción “descarga de aplicaciones de fuentes desconocidas” para evitar escenarios de esta naturaleza y proteger, así, los dispositivos de los usuarios.

Modus operandi del troyano BrazKing

Como explicaron los investigadores de IBM, el troyano se comunica en tiempo real con el servidor C2 y los delincuentes envían información específica para solicitar o ejecutar operaciones individuales. Este modo de operación fue documentado y observado el año pasado en campañas de phishing de Brasil dirigidas a diferentes organizaciones bancarias en Brasil, España, México, Reino Unido y Portugal.

2: Amenaza del servidor C2 de Anubis Network detectada y documentada en diciembre de ( fuente ).

BrazKing envía periódicamente una captura de pantalla del dispositivo al servidor C2 y puede realizar acciones automáticas si los delincuentes no especifican acciones. Por ejemplo, el troyano puede mostrar ventanas superpuestas cuando se ejecutan aplicaciones específicas, un comportamiento común también documentado en las variantes del troyano de escritorio.

3: BrazKing tiene una superposición coincidente que se muestra en aplicaciones legítimas.

Un punto de sofisticación observado por los expertos de IBM está relacionado con la forma en que el troyano muestra las ventanas superpuestas en esta nueva versión: “ Notamos que si bien BrazKing ahora funciona sin el permiso SYSTEM_ALERT_WINDOW, lo que permite que BrazKing sea más esquivo y despierte menos sospechas, permanece en sus manifiestos ”.

En detalle, el troyano carga la URL de la pantalla superpuesta desde el servidor C2 y la convierte en un componente de vista web de Android. Los usuarios pueden navegar a través de ventanas superpuestas bancarias e introducir sus credenciales sin salir de la aplicación maliciosa. Para esto, Brazking utiliza la función “TIPO DE SUPERPOSICIÓN DE ACCESIBILIDAD” como tipo de ventanas.

El troyano se comunica con su servidor C2 durante la operación de infección basándose en comandos observados en otros troyanos brasileños. La lista completa de comandos se presenta a continuación.

Comprender las capacidades de BrazKing

BrazKing aprovecha un conjunto de capacidades que lo colocan en el radar de la ciberseguridad. En general, este malware es capaz de realizar:

• Inyección de entrada : es posible la comunicación con las aplicaciones en ejecución.
• Capturador de pantalla : recopila información sobre la pantalla del dispositivo.
• Keylogger: obtiene las credenciales almacenadas.
• Cree ventanas superpuestas: inicie ventanas falsas y engañe a los usuarios para que compartan sus secretos.
• Protección de desinstalación: bloquea a los usuarios cuando intentan desinstalar el troyano.
• Evitar el restablecimiento de fábrica: el malware intenta bloquear a los usuarios cuando intentan restablecer el dispositivo.
• Capacidades RAT: BrazKing utiliza los esquemas más avanzados y los TTP observados en los troyanos bancarios brasileños.
• Leer SMS y contactos: el troyano puede leer SMS y contactos sin permisos explícitos de Android.

Entendiendo el malware de Android BrazKing

Los delincuentes están cambiando sus métodos maliciosos tanto en sofisticación como en agilidad. Los usuarios deben ser cautelosos y comprender que las amenazas emergentes introducen constantemente nuevas técnicas para aprovechar los fallos humanos.

Por ejemplo, si alguien no puede desinstalar una aplicación específica o incluso restablecer el teléfono inteligente a los valores de fábrica, eso debería activar una alerta. No existen pasos mágicos para prevenir el malware en general, pero sí podemos enumerar algunos puntos que pueden proteger nuestros dispositivos contra amenazas de esta línea.

• Nunca desactives la opción “permitir descargas de fuentes desconocidas”.
• Piénselo dos veces antes de acceder a un enlace sospechoso.
• Tenga cuidado con las ventanas que le solicitan que instale aplicaciones.
• Promociona y súmate a capacitaciones sobre phishing y malware para ser conscientes de estos constantes desafíos.

Y por último, pero no menos importante, descargue e instale software antivirus de fuentes legítimas o aplicaciones pagas según su reputación.

Fuentes:

• Disección del malware BrazKing , IBM
• Troyano brasileño – BrazKing , Thesecmaster
• El nuevo troyano MAXTRILHA , Segurança Informática
• Red Anubis , Segurança Informática