MysteryBot -- La nueva amenaza "todo en uno" para dispositivos Android

¡Hola abejas!

Ya tenemos la nueva versión de nuestra querida colmena disponible, pero las obras todavía no han terminado (ni mucho menos), según vayamos viviendo en esta nueva colmena, se irán subsanando esos pequeños errores que vayan apareciendo, como “una puerta demasiado corta por abajo”, un “grifo que gotea”, “una baldosa que se mueve” etc… Es lo normal, siempre ocurre en cada “mudanza” y en cada “nuevo hogar”.

Lo que no ocurrirá nunca es que yo no os deje de "dar la tabarra con mis cosas", pero bueno hoy no me voy a extender mucho, este artículo es muy corto, ya que la gran mayoría de la información disponible y “de mi gusto” que hay por la red está casi toda en inglés, como suele ocurrir normalmente con casi todo, y más todavía con “cosas de Android”.

¡Y ahora después de las risas, que nunca están de más (sólo faltaría), vamos al lío chic@s!

Por si fuera poco, el nivel de malware existente en los dispositivos Android en estos tiempos, que parece ser casi infinito, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la que hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Las novedades que trae este malware es la combinación de varias vías de ataque que os detallo a continuación:

· Registro de pulsaciones: El malware guarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEye y Anubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

· Ransomware: Este comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo ZIP con contraseña, la cual actualmente no tiene mucha robustez (sólo 8 caracteres).

· Ataques de superposición: La característica más novedosa de este malware, no tanto por lo que hace sino por su ejecución. Este comportamiento permite qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. 

Esta familia abusa del permiso 'PACKAGE_USAGE_STATS', que junto con el uso de la clase 'AccessibilityService' y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar, es que la intención es hacerse pasar por la aplicación   "Adobe Flash Player".

Espero que os haya gustado, y gracias por leerme, pero recordad que todo esto es posible gracias a los grandes expertos en ciberseguridad que tenemos, y que cada día investigan, y encuentran nuevas amenazas, si estos profesionales no existiesen, el mundo sería mucho peor, os lo puedo asegurar.

¡Va por todos ellos también!

Referencias:

https://www.threatfabric.com/blogs/mysterybot__a_new_android_banking_trojan_ready_for_android_7_and_8.html

http://www.abc.es/tecnologia/redes/abci-android-lokibot-malware-infecta-sistemas-moviles-bancarios-201708260159_noticia.html

http://www.eliminarmalware.com/ransomware/metodos-de-trabajo-para-eliminar-cryeye-ransomware/

https://www.hackread.com/android-anubisspy-malware-stealing-photos-videos-spying/

https://www.tekcrispy.com/2018/06/14/mysterybot-malware-android-troyanos/

http://totalsystemsecurity.com/tag/mysterybot-android-trojan-actions/

https://developer.android.com/reference/android/accessibilityservice/AccessibilityService

https://www.bleepingcomputer.com/news/security/new-mysterybot-android-malware-packs-a-banking-trojan-keylogger-and-ransomware/