Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
18/06/2018
MysteryBot, el nuevo troyano "todo en uno" para Android
Descubierta una nueva familia de malware para Android, MysteryBot, lo que parece ser una evolución de LockyBot.
El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos.
Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:
Registro de pulsaciones: El malware guarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEye y Anubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.
Ransomware: Este comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zip con contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).
Ataques de superposición: La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso 'PACKAGE_USAGE_STATS', que junto con el uso de la clase 'AccessibilityService' y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.
Pueden seguir leyendo esta noticia en el siguiente enlace.