Troyanos bancarios dirigidos a Android siguen usando un “correo de voz” como gancho

Las campañas de troyanos bancarios dirigidas a usuarios de Android no cesan mientras los delincuentes tratan de conseguir nuevas víctimas. Desde finales del año pasado, la familia de troyanos FluBot ha protagonizado numerosas campañas utilizando varias plantillas, algo que otros delincuentes han aprovechado para expandir sus propias amenazas por varios países.

Un sospechoso mensaje de audio

Tal y como informaba recientemente el investigador español Sergio de los Santos, se ha detectado una nueva campaña que utiliza un mensaje de texto y una plantilla que el troyano bancario FluBot empezó a utilizar en junio de este año. El procedimiento sigue siendo el habitual: se recibe un SMS desde el número de teléfono de un usuario previamente infectado, en el que se indica que tenemos un mensaje de audio pendiente de escucha.

En caso de pulsar sobre el enlace proporcionado el usuario es redirigido a una web donde observamos una plantilla conocida, al haberla observado mientras analizábamos muestras similares hace algunos meses. En esta ocasión, la plantilla mostrada intenta hacerse pasar por la empresa de telefonía Movistar y se ha traducido el mensaje al español, indicando que es necesaria la descarga de una aplicación para leer el supuesto mensaje de voz.

Tal y como es de esperar, si el usuario descarga e instala esta aplicación en su dispositivo, este quedará infectado por el malware, que empezará a realizar sus acciones maliciosas relacionadas habitualmente con el robo de credenciales usadas para acceder a la banca online. Para ello se suelen superponer pantallas fraudulentas suplantando a las apps bancarias cuando el usuario accede a ellas, además de interceptar los SMS que envían los bancos con los códigos de verificación necesarios para autorizar transferencias.

Estas acciones requieren de ciertos permisos que este tipo de malware suele obtener pidiéndole al usuario que le conceda el permiso de accesibilidad, lo que da al malware prácticamente el control necesario para realizar sus acciones maliciosas mientras intenta obtener persistencia en el dispositivo infectado y evitar la detección intentando desactivar las posibles soluciones de seguridad instaladas.

Una muestra un tanto especial

Tal y como destaca Sergio de los Santos en su análisis inicial, la muestra analizada se sale un poco de lo habitual por varios motivos. Entre ellos encontramos una gran cantidad de dominios generados de forma aleatoria y que son utilizados por los delincuentes en esta campaña.

Entre estos dominios destacan aquellos pertenecientes a China y Rusia, pero también el .SU, usado inicialmente para la Unión de Repúblicas Socialistas Soviéticas poco antes de su disolución en 1991.

Además, otro aspecto importante es la gran cantidad de palabras y frases en chino dentro del código de esta amenaza. Esto podría indicar que los desarrolladores de esta variante hablan este idioma o también que han sido incluidas para hacer seguir falsas pistas a los investigadores que analicen esta amenaza.

También resulta curioso que, como nombre del paquete, los desarrolladores de esta amenaza hayan utilizado el nombre de una actriz que los amantes del séptimo arte sabrán reconocer sin duda alguna.

En lo que respecta a las cadenas que se encuentran dentro del código de esta amenaza, algunas de estas resultan un tanto inquietantes al traducirlas, aunque no es extraño ver como los desarrolladores de malware definen variables o colocan comentarios de este tipo, delatando sus aficiones o incluso dejando recados a los analistas de malware.

En lo que respecta a la información en chino que podría ser relevante encontramos, por ejemplo, direcciones postales como esta que se encuentra incrustada en uno de los ficheros que componen la aplicación maliciosa.

Sin embargo, dudamos mucho de que se trate de una pista que lleve a los delincuentes, puesto que se trata de la dirección de un lago situado cerca de la ciudad china de Hangzhou.

Algo que nos ha llamado la atención revisando el código de esta muestra es la inclusión de varios bancos tailandeses, así como un enlace a una imagen de su logotipo alojada en la nube de la empresa china Alibaba. El uso de este servicio en la nube es algo que se repite en varias partes del código de esta amenaza.

Lo mismo sucede con los logotipos de varias empresas dedicadas al negocio de las tarjetas de crédito. Esto, unido a otras partes revisadas del código, nos hace pensar que, en esta ocasión, los delincuentes no solo se dedican a robar credenciales bancarias, sino que también buscan obtener los datos de las tarjetas de crédito de sus víctimas.

En cualquier caso, esta no parece ser una muestra clásica de FluBot y sí de alguien que aprovecha sus métodos de propagación y plantillas para propagar su propio troyano bancario. El código analizado sugiere que ya ha tenido actividad en algunos países asiáticos, especialmente en Tailandia, y que ahora estaría probando suerte entre usuarios españoles y, tal vez, de otros países de nuestro entorno.

Conclusión

Tal y como ya hemos aconsejado en otras ocasiones, es importante evitar seguir enlaces no solicitados, aunque provengan de personas o entidades de confianza. De igual forma, no debemos descargar apps en nuestro dispositivo que no provengan de fuentes confiables e instalar una solución de seguridad que sea capaz de detectar y eliminar estas amenazas antes de que nos vacíen nuestra cuenta corriente.

Josep Albors

“El juego del calamar” usado como cebo por el malware Joker para infectar dispositivos Android