MysteryBot: El nuevo malware para Android
Una forma experimental de malware para Android ofrece un troyano bancario, un registrador de pulsaciones de teclado y un ransomware para aquellos desafortunados que sean víctimas de él.
Descubierto por los investigadores de seguridad de la compañía de seguridad ThreatFabric, el malware primero se pensó que era una versión actualizada de Lokibot, pero como contiene varias características nuevas, los investigadores lo etiquetan como una nueva forma de malware: MysteryBot.
Sin embargo, MysteryBot y LokiBot comparten el mismo servidor de comando y control, lo que indica un fuerte vínculo entre los dos tipos de malware, con la posibilidad de que hayan sido desarrollados por el mismo atacante.
El malware también es potencialmente potente, con el troyano capaz de controlar la funcionalidad de los dispositivos infectados, incluida la capacidad de leer mensajes, recopilar información de contacto y más.
También hay comandos para robar correos electrónicos y aplicaciones de inicio remoto, pero estas herramientas particulares no parecen estar activas aún, lo que sugiere que este malware aún se encuentra en la fase de desarrollo.
Mientras muchas familias de malware de Android se concentran en atacar versiones anteriores del sistema operativo Google, MysteryBot tiene la capacidad de apuntar activamente a las versiones 7 y 8 de Android usando pantallas superpuestas diseñadas para parecerse a sitios web bancarios reales, pero de hecho son administradas por los atacantes, dijo el investigador.
Los sitios web falsos de una gran variedad de bancos en todo el mundo se pueden mostrar a la víctima, lo que garantiza que los atacantes puedan lanzar una amplia red para robar las credenciales ingresadas.
Una vez activo en el dispositivo, el malware aparece como una versión falsa de Adobe Flash Player. Sin embargo, los investigadores no han detallado cómo la carga útil se entrega inicialmente en el dispositivo.
Los investigadores dicen que la forma en que el malware registra el keylogging de una manera nueva e innovadora, determinando qué tecla ha sido presionada por su ubicación en la pantalla en relación con otras, algo que puede hacer cuando el teclado se mantiene tanto horizontal como verticalmente, explicaron los investigadores en una publicación de su blog.
Sin embargo, al igual que con otras características del malware, el registrador de teclas todavía parece estar en desarrollo ya que actualmente no hay forma de que las teclas registradas se almacenen en el servidor de comandos.
Además de la capacidad de infectar a las víctimas con un troyano y un keylogger, los que están detrás de MysteryBot también han estado experimentando con una herramienta ransomware. La característica de ransomware incrustado permite al malware cifrar archivos individualmente y almacenarlos en un archivo ZIP de transferencia pasiva.
Cuando se completa el cifrado, un mensaje avisa a la víctima de haber visto contenido para adultos y exige que se contacte a una dirección de correo electrónico para obtener una contraseña, y presumiblemente pagar por el privilegio.
Sin embargo, el elemento ransomware de MysteryBot no parece ser sofisticado. No solo porque requiere contacto por correo electrónico, sino que la contraseña tiene solo ocho caracteres, que en teoría podría adivinarse por fuerza bruta.
En segundo lugar, a las víctimas se les asigna una identificación entre 0 y 9999. Dado que no hay verificación de la identificación existente, es posible que los atacantes puedan duplicar los Id. Y que les resulte imposible a las víctimas recuperar los archivos.
Pero a pesar de algunas de las capacidades de MysteryBot actualmente se encuentrán en subdesarrollado, el malware sigue siendo una amenaza potencial.
"Los ataques de superposición mejorada que también se ejecutan en las últimas versiones de Android combinadas con un registro de teclas avanzado y las posibles características de subdesarrollo permitirán a MysteryBot cosechar un amplio conjunto de información personal identificable para realizar el fraude", escribieron los investigadores.
MysteryBot no está actualmente muy extendido y aún se encuentra en desarrollo, pero los usuarios deben desconfiar de las aplicaciones que descargan y que requieren una cantidad excesiva de permisos.