2022-04-08 14:48:21
El malware de Android sigue su evolución, ahora innovando con algo aparentemente superado en el escritorio: los troyanos bancarios. Desde el legendario Marcher se evolucionó a Exobot en 2016, de ahí a ExobotCompact. Ahora con nuevas funcionalidades, esta familia parece llamarse Octo. La capacidad más llamativa (entre las clásicas para robar todo lo posible) es la de acceder al smartphone directamente a través de una especie de VNC y por tanto, realizar el fraude sobre el propio dispositivo, controlándolo casi en tiempo real.
Esto aporta enormes ventajas para el atacante. Virtualmente actúa como el usuario, levantando menos sospechas ante el banco, como hacían los tradicionales troyanos bancarios de Windows que a mediados de los 2000, irrumpieron inyectándose en los navegadores.
Para conseguir ese acceso en tiempo real, se basan en la funcionalidad nativa de Android MediaProjection (para proyectar en pantallas) y AccessibilityService (para la accesibilidad, algo que ya es abusado abiertamente por los atacantes). El atacante envía el comando start_vnc al sistema y consigue proyectar la pantalla del dispositivo en el command and control. A continuación pone una pantalla en negro en el sistema para no ser descubierto, quita notificaciones y el brillo a cero.
Con toda la información recogida y la proyección, puede enviar comandos como “click_at”, “paste”, “long_click”, “set_text”… mientras controla a un ratio de 1 frame por segundo en el command and control, el efecto de sus actos. Los descubridores apuntan a que esta puede ser la versión manual. Porque con este nivel de control en realidad podrían simplemente automatizar un envío de comandos en lote a través de un archivo que ejecutar. Así el ataque ganaría en escalabilidad.
Por supuesto, han colado en Google Play aplicaciones maliciosas que servían de dropper para este malware.
Más información: https://threatfabric.com/blogs/octo-new-odf-banking-trojan.html
4.2K viewsedited 11:48