Nueva variante de Ursnif ataca a entidades italianas

Los investigadores de CSE Cybsec ZLab estudian una nueva variante de Ursnif que apunta a compañías italianas utilizando documentos de Microsoft Word especialmente manipulados.

Ya hablamos en su momento de Ursnif, un viejo conocido entre la comunidad de analistas de malware. Fue uno de los bankers más prolíficos de los dos últimos años y afectó a usuarios de distintas partes del mundo: Japón, Norte América, Europa y Australia fueron las zonas más afectadas. El malware, activo desde 2009 ha evolucionado en distintas variantes para adaptarse a los mecanismos que tratan de impedir la amenaza.

Recientemente se ha encontrado una nueva variante que utiliza técnicas de ingeniería social y documentos de Microsoft Word modificados para infectar a las víctimas.

El proceso de infección comienza con un correo dirigido a la víctima con un documento de Word adjunto.

El documento de Word muestra un phishing que intenta convencer a la víctima de que habilite las macros para poder ver correctamente el contenido del documento.

Phishing en el documento de Word. Fuente: http://csecybsec.com

Una vez permitida la ejecución de macros, el malware ya puede infectar la máquina y propagarse. Para ello ejecuta un payload que descargará del servidor de C&C. El cual instalará el binario malicioso en el sistema y descargará otro (cmiftall.exe) queimplementará la persistencia, añadiendo una entrada maliciosa al registro de Windows. Además, el malware se intentará propagar enviando el correo con el adjunto malicioso a los contactos de la víctima.

Como decíamos la campaña está dirigida a usuarios italianos. El correo se presenta escrito en este idioma, con faltas de ortografía y un documento de Microsoft Word adjunto. Algunas muestras encontradas nombraban a estos ficheros como:

  • ComunediVALDELLATORRE_Richiesta.doc
  • IV_Richiesta.doc
  • OrdineDeiGiornalisti_Richiesta.doc
  • WSGgroup_Richiesta.doc
  • CB_Richiesta.doc

Algunos IOCs compartidos por CSE Cybsec son:

Dominios

  • qwdqwdqwd19 .com
  • g94q1w8dqw .com
  • vqubwduhbsd .com
  • fq1qwd8qwd4 .com
  • wdq9d5q18wd .com
  • qwd1q6w1dq6wd1 .com
  • qw8e78qw7e .com
  • qwdohqwnduasndwjd212 .com

IPs

  • 23.227.201.166
  • 172.106.170.85
  • 89.37.226.117
  • 86.105.1.131
  • 62.113.238.147
  • 89.37.226.156
  • 198.55.107.164

Emails

Hashes

  • C97E623145F7B44497B31EF31A39EFED
  • B48F658DBD0EF764778F953E788D38C9
  • 6F571B39FCDE69100EB7AEC3C0DB0A98
  • 29CA7312B356531F9A7A4C1C8D164BDD
  • 535A4EBB8AEF4C3F18D9B68331F4B964
  • 347CE248B44F2B26ADC600356B6E9034
  • 3C301FF033CB3F1AF0652579AD5BC859
  • 716D8D952102F313F65436DCB89E90AE
  • FD26B4B73E73153F934E3535A42B7A16

Como siempre,  recomendamos no abrir correos con adjuntos no solicitados.

Más información:
 
A new variant of Ursnif Banking Trojan served by the Necurs botnet hits Italy:

Koodous vuelve a Las Vegas de la mano de YaYaGen

Desde Hispasec nos alegra enormemente anunciar que la charla “Looking for the perfect signature: an automatic YARA rules generation algorithm in the AI-era” de nuestro compañero Andrea Marcelli ha sido seleccionada para la BSides Las Vegas y DEF CON 26.

Con una asistencia estimada de 22.000 personas, DEF CON y BSIDESLV son dos de las mayores convenciones de hackers del mundo, celebrándose anualmente desde 1993 y 2009, respectivamente, en Las Vegas (Nevada). Cada año, cientos de charlas de investigadores de gran renombre son elegidas para presentar los últimos avances y “hacks” en seguridad de la información.

Andrea Marcelli es un investigador de seguridad y parte de nuestro equipo desde noviembre de 2016, trabajando en el proyecto Koodous y desarrollando nuevas herramientas para automatizar la detección de malware en Android. Además es un estudiante de doctorado del Politécnico de Turin (Italia), donde investiga sobre Machine-Learning, modelado semisupervisado y métodos avanzados de optimización, todos aplicados principalmente a los problemas abiertos en seguridad de la información.

En el último año, Andrea ha enfocado su investigación en el desarrollo de nuevos algoritmos de Inteligencia Artificial para la generación automática de firmas de malware, una tarea crítica tanto para la industria de antivirus como para la comunidad de investigadores. Sus esfuerzos se han materializado en la familia de herramientas YaYaGen (Yet Another YARA rule Generator), desarrollada para facilitar el difícil y costoso proceso de escribir firmas de malware: Dada una familia especifica, los algoritmos automáticamente extraen de cada muestra las características más significativas y las combinan para garantizar la mayor cobertura de detección mientras evitan falsos positivos. Finalmente, las firmas generadas automáticamente por YaYaGen se traducen a reglas YARA que pueden ser añadidas directamente a Koodous para detectar variantes de malware con facilidad.

Durante su charla en ambos eventos, Andrea presentará la familia de herramientas YaYaGen y las ideas detrás de los algoritmos desarrollados. ¡Si estás por Las Vegas asegúrate de no perdértela! BSides Las Vegas se celebrará entre el 7 y 8 de agosto en The Tuscanymientras que DEF CON 26 tendrá lugar entre el 9 y 12 de agosto en los hoteles Caesars Palace y Flamingo. La charla en DEF CON esta programada a las 13:00 del sábado 11 de agosto, y para BSides está aún por confirmar.

Resumen

Dado el alto ritmo al que se crean nuevas variantes de malware, los sistemas antivirus deben esforzarse para tener sus firmas actualizadas y sufren una cantidad considerable de falsos negativos. La generación de firmas efectivas contra nuevas variantes, y que además eviten falsos positivos, es una tarea necesaria aunque supone un desafío, requiriendo normalmente una alta implicación de un experto. Para resolver el problema de generación de firmas para malware se pueden usar técnicas de Inteligencia Artificial.

El fin último es la creación de un algoritmo capaz de crear automáticamente una firma generalizada de una familia, finalmente reduciendo la exposición a las amenazas y aumentando la calidad de las detecciones. La técnica propuesta genera automáticamente una firma óptima que identifica a una familia de malware con una alta precisión y buena exhaustividad, usando para ello heurística y algoritmos tanto evolutivos como lineales.

En esta charla presentaremos YaYaGen (Yet Another YARA Rule Generator), una herramienta para generar automáticamente firmas de malware para Android. Las mejoras han sido evaluadas en el conjunto de datos masivo de millones de aplicaciones disponible a través del proyecto Koodous, mostrando que el algoritmo es capaz de generar reglas precisas capaces de detectar malware desconocido de forma más eficiente que aquellas reglas generadas por humanos.

Más información:

Apache Cassandra corrige un error de regresión introducido hace 2 años

Se ha corregido una vulnerabilidad introducida como parte de la solución propuesta para el CVE-2015-0225. Esta vulnerabilidad se trata de un error de regresión que podría permitir a un atacante sin autenticar llevar a cabo ejecución de código remota.
Apache Cassandra es una base de datos NoSQL distribuida y basada en un modelo de almacenamiento de ‘clave-valor’, de código abierto que está escrita en Java. Permite grandes volúmenes de datos en forma distribuida. Su objetivo principal es la escalabilidad lineal y la disponibilidad. La arquitectura distribuida de Cassandra está basada en una serie de nodos iguales que se comunican con un protocolo P2P con lo que la redundancia es máxima.
 
El fallo, al que se le ha asignado el identificador CVE-2018-8016, permite a un atacante remoto ejecutar código arbitrario bajo una configuración por defecto del sistema. El fallo se debe a que se podría unir la interfaz JMX/RMI al resto de interfaces del sistema, permitiendo la ejecución de código Java a través de peticiones RMI especialmente manipuladas.
Las versiones afectadas por esta vulnerabilidad van desde la 3.8 a la 3.11.1, ambas inclusive. El fallo ha sido solucionado en la versión 3.11.2 del popular motor de base de datos no relacional.

Plaintee y DDKong malware usado para el ciberespionaje de entidades asiáticas

Se ha descubierto una campaña de ataques de espionaje dirigidos a entidades del sudeste asiático utilizando malware.

Recientemente se ha descubierto una campaña de ciberespionaje que está asociada al grupo detrás del troyano KHRAT y ha estado afectando a los países del sudeste asiático.
El grupo denominado RANCOR usa dos familias de malware ‘PLAINTEE’ y ‘DDKONG’.

Los investigadores habían monitorizado la infraestructura del ‘C&C’ del troyano ‘KHRAT’donde identificaron múltiples variantes de este malware.

Despliegue
Para llegar a infectar el equipo primero se manda un correo con phishing dirigido que contiene distintos vectores de infección tales como: macros en ficheros Office, aplicaciones HTML (.hta)…etc.

La infección a través de las macros de un fichero Office se hace incorporando el código malicioso principal en los metadatos del documento donde reúne unas características idóneas para la evasión de los mecanismos de detección.

RANCOR_2
Contenido de la macro – Fuente

En la siguiente etapa de ejecución del malware se descarga y se ejecuta el siguiente código

Siguente etapa del malware – Fuente

En el caso de las aplicaciones HTML se envían como archivo adjunto en el correo, cuando se descarga y se ejecuta el archivo ‘.hta’ se descarga y ejecuta el malware desde un sitio web remoto y carga una imagen falsa como respuesta a la ejecución del fichero.

DDKong

Este malware contiene tres funciones: ‘ServiceMain’‘Rundll32Call’‘DllEntryPoint’. La función ServiceMain se ejecuta y espera a que se cargue como servicio, si se carga con éxito genera una nueva instancia de sí mismo con la exportación de ‘Rundll32Call’ mediante una llamada a ‘rundll32.exe’.

La función ‘Rundll32Call’ de este malware se asegura de que solo se ejecute una única instancia de ‘DDKong’. Este intenta decodificar la configuración utilizando una clave XOR. Una vez decodificada obtenemos la configuración y procede a enviar una señal al C&C a través de TCP.

Plaintee

Plaintee usa un protocolo UDP personalizado para sus comunicaciones con el C&C. Este malware contiene tres funciones: ‘Add’‘Sub’‘DllEntryPoint’. Cuando se carga inicialmente se ejecuta la función ‘Add’ que ejecuta este código para conseguir la persistencia.

Persistencia – Fuente

Lo siguiente que hace es generar un ‘mutex’ llamado ‘microsoftfuckedupb’ y genera un‘GUID’ único a través de una llamada a  ‘CoCreateGuid()’ para ser utilizado como identificador de la víctima.

A continuación el malware recopila los datos del sistema de la máquina infectada e introduce un bucle en el que decodifica un ‘BLOB’ de configuración incrustado. La configuración está codificada usando XOR y el primer byte de la cadena se usa como la clave XOR para decodificar el resto de los datos.

Beacon de Plaintee – Fuente
Estructura del paquete de red de Plaintee – Fuente

Este paquete se envía hasta que el servidor C2 de una respuesta válida. Una vez se recibe estas respuestas el malware genera varios hilos de ejecución nuevos con diferentes parámetros con el objetivo de cargar y ejecutar los complementos que se reciban desde el C2.



Hash List

  • 0bb20a9570a9b1e3a72203951268ffe83af6dcae7342a790fe195a2ef109d855[Loader]
  • c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505d[Plaintee]
  • b099c31515947f0e86eed0c26c76805b13ca2d47ecbdb61fd07917732e38ae78[Plaintee]
  • 119572fafe502907e1d036cdf76f62b0308b2676ebdfc3a51dbab614d92bc7d0[DDKong]
  • 0517b62233c9574cb24b78fb533f6e92d35bc6451770f9f6001487ff9c154ad7 [DDKong]


Más información:
 
Fuente:

Vulnerabilidad en PhpMyAdmin 4.8.x permite ejecución remota de código

La vulnerabilidad, la cual requiere encontrarse autenticado, es posible debido a un fallo de “Inclusión de fichero Local” (Local File Inclusion, LFI)

 

El equipo de seguridad ChaMD5 ha encontrado una vulnerabilidad del tipo “Inclusión de Fichero Local” (Local File Inclusion, LFI) que permitiría la ejecución de código remoto (Remote Code Execution, RCE) en la versión 4.8.1 de PhpMyAdmin, una conocida aplicación web que permite trabajar con bases de datos MySQL del servidor.

La vulnerabilidad se encuentra en la función ‘checkPageValidity’, del fichero‘/libraries/classes/Core.php’ de PhpMyAdmin, la cual se encarga de comprobar que el fichero a cargar usando el parámetro ‘target’ de ‘index.php’ es válido. Mediante una doble codificación, es posible saltar la restricción para cargar un archivo local arbitrario. Un ejemplo sería: ‘/index.php?target=db_sql.php%253f/etc/passwd’.

Además, para conseguir la ejecución remota de código, puede aprovecharse que PhpMyAdmin almacena en ficheros de sesión las sentencias SQL introducidas en su interfaz. Así pues, introduciendo una sentencia como “select ‘<?php phpinfo();exit;?>'”, y obteniendo el id de sesión gracias a la cookie‘phpMyAdmin’, puede ejecutarse código PHP arbitrario, el cual podría llamar a comandos del sistema. Un ejemplo completo sería el siguiente:

index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/sessions/sess_d41d8cd98f00b204e9800998ecf8427e’

A día de hoy no se encuentra disponible una versión de PhpMyAdmin que solucione el fallo. Aunque se requiera estar autenticado para la explotación de esta vulnerabilidad, el uso de credenciales por defecto, fuerza bruta u otra vulnerabilidad que permita acceder sin credenciales, podrían permitir el control de la máquina debido a este fallo.

Para evitar la explotación de vulnerabilidades como esta, es importante restringir el acceso a herramientas de administración. Una posible solución es limitar la conexión a IPs autorizadas, o el uso de autenticación Basic Auth con una conexión HTTPS.

Más información:
 

Casi 400 modelos de cámaras Axis expuestos a ataques remotos

Se han descubierto 7 vulnerabilidades que afectan a 390 modelos diferentes de cámaras de la marca, que permitirían acceder sin credenciales, escalar privilegios y ejecutar comandos arbitrarios

Las vulnerabilidades han sido descubiertas por la empresa de seguridad VDOO, en un proyecto interno enfocado a la seguridad de cámaras IP. Éstas son:

  • CVE-2018-10658: bloqueo del proceso ‘/bin/ssid’.
  • CVE-2018-10659: bloqueo del proceso ‘/bin/ssid’.
  • CVE-2018-10660: inyección de comandos shell.
  • CVE-2018-10661: salto del proceso de autenticación
  • CVE-2018-10662: elevación de permisos usando funcionalidad ‘.srv’ de dbus.
  • CVE-2018-10663: lectura fuera del buffer en proceso ‘/bin/ssid’.
  • CVE-2018-10664: bloqueo del proceso httpd.
De estas vulnerabilidades, las catalogadas con los identificadores CVE-2018-10661, CVE-2018-10662 y CVE-2018-10660 permiten en su conjunto tomar el control total de las cámaras por el atacante sin la necesidad de autenticación. La empresa de seguridad ha puesto algunos ejemplos de las acciones que podrían realizarse:
  • Acceder a la transmisión de vídeo.
  • Bloquear la transmisión de vídeo.
  • Tomar el control de la cámara para activarla/desactivarla o rotarla.
  • Añadir la cámara a una botnet.
  • Alterar o cambiar el firmware de la cámara.
  • Utilizar la cámara para infiltrarse en la red.
  • Inutilizar la cámara.
  • Emplear la cámara para otros ataques, como DDoS o minería de bitcoin.
Las otras vulnerabilidades descritas, con los identificadores CVE-2018-10658, CVE-2018-10659 y CVE-2018-10664, permitirían afectar al funcionamiento de la cámara, sin que se requiera autenticación para ninguna de ellas. Finalmente, la vulnerabilidad CVE-2018-10663 permite la revelación de información sin autenticación.
La empresa que ha descubierto las vulnerabilidades asegura que no hay pruebas de que haya habido explotación, recomendando a todos los usuarios afectados actualizar de inmediato. Axis ha liberado un listado de los modelos afectados.
Las vulnerabilidades en dispositivos IoT se encuentran a la orden del día, evidenciando la necesidad de preocuparse por la seguridad de estos dispositivos y mantenerlos actualizados. No sólo es importante por la posible pérdida de privacidad (como en este caso acceder al streaming de vídeo) sino también porque permiten acceder al resto de la red para vulnerar otros dispositivos.

Github advierte sobre instaladores maliciosos encontrados en proyectos basados en blockchain

El pasado 13 de junio Github lanzó un comunicado advirtiendo a los usuarios de criptodivisas sobre instaladores Windows maliciosos encontrados en algunos repositorios de la conocida plataforma de desarrollo.

 

Estos ataques están dirigidos a proyectos basados en Blockchain, que por lo general involucran alguna criptodivisa que puede ser canjeada por dinero real. Los ataques tratan de suplantar algún componente del proyecto para infectar a sus usuarios y poder robar sus activos digitales.

La investigación tuvo lugar a raíz de que los desarrolladores del proyecto Syscoindescubrieran una copia no firmada del instalador “Windows Syscoin 3.0.4.1” en la página de releases del proyecto.

Tras analizar el instalador descubrieron que contenía código malicioso que “dropeaba” el archivo “re.exe” en la carpeta “C:\Users\user\AppData\Local\Temp”, un troyano con funcionalidades de keylogger capaz de robar contraseñas y los “wallets” de los usuarios:

https://www.virustotal.com/#/file/b105d2db66865200d1b235c931026bf44428eb7327393bf76fdd4e96f1c622a1/detection

El ataque ha afectado a la capitalización del mercado que ha pasado de los 210 dólares a los 120 aproximadamente.

El instalador fraudulento fue subido a través de una cuenta comprometida de Github y afectó a la versión 3.0.4.1 del instalador.

El troyano sólo afecta a usuarios de Windows y los binarios ya se encuentran sustituidos por sus versiones legítimas.

Los usuarios de Windows que descargaron el instalador de Syscoin entre los días 9 y 13 de junio deberían eliminar cuanto antes el troyano, cambiar todas sus contraseñas y transferir todos sus activos a una cartera segura.

Más información:
 
Security Notice for Windows based installers:

HeroRat, otro RAT para Android que utiliza Telegram como C&C

Una nueva familia de RAT para Android que utiliza el sistema de bots de Telegram para su control ha sido descubierta por el analista de seguridad Lukas Stefanko de la empresa ESET.


Este malware llamado “HeroRat” ha sido detectado recientemente, pese a que se estima que al menos desde agosto de 2017 se ha estado comercializando. La información que se tiene no deja claro si esta variante fue creada a partir del código fuente filtrado o no, pero lo que sí conocemos es que se distribuye bajo tres paquetes de licencia (bronce, plata y oro) a un precio de 25, 50 y 100 dólares respectivamente.

Un Remote Access Toolkit (RAT) es un tipo específico de malware que controla un sistema a través de una conexión de red remota. Un RAT intenta ocultarse a la víctima de manera que los usuarios infectados no puedan detectar su presencia.


Basándonos en los 3 IOCs que ha compartido ESET hemos creado una regla en Koodous para localizar todos los APKs que coinciden con la regla que identifica al malware.
La regla es muy sencilla, ya que buscamos solo dos cosas: que se conecte a la API de Telegram y que escriba en el fichero sadas45sg6d4f6g696sadgfasdgf4.xml, a priori dos comportamientos que parecen suficientes para su clasificación. No obstante, estaremos atentos por si ocurriesen falsos positivos que nos indiquen que la regla tiene “overfitting” para corregirlo.



A día de hoy la regla ha detectado 153 apks distintos y ha sido promocionada a social para que los usuarios del antivirus móvil puedan beneficiarse de las detecciones.

 

Como detalles adicionales del RAT comentar que ha sido desarrollado en C# mediante el framework Xamarin y para la comunicación utiliza la librería Telesharp.

 
New Telegram-abusing Android RAT discovered in the wild:

FP Lazy State Restore: nueva vulnerabilidad en los procesadores Intel Core

Intel ha publicado una nueva vulnerabilidad que afecta a sus procesadores la cual aprovecha debilidades en la ejecución especulativa, al igual que Meltdown y Spectre.

Extraída de betanews.com

Era de esperar: una vez que los investigadores han puesto el ojo sobre los microprocesadores, era solo cuestión de tiempo que fueran descubriéndosemás vulnerabilidades y con mayor frecuencia. Desde el descubrimiento de Spectre y Meltdown, hemos asistido a un desfile de fallos de seguridad relacionados con la ejecución especulativaHoy tratamos FP Lazy State Restore.

Aunque no se han dado muchos detalles técnicos de la vulnerabilidad, a la que se ha asignado el identificador CVE-2018-3665, se ha publicado que el error está relacionado con la forma de guardar y restaurar los registros de estado de la unidad de coma flotante (Floating Point Unit, FPU, y de ahí el nombre de la vulnerabilidad: ‘Floating Point Lazy State Restore’).

¿Y por qué el “lazy“? La FPU guarda el estado de las operaciones que está realizando. Cuando se da un cambio de contexto en el procesador, este puede indicar a la FPU que este estado sea guardado automáticamente o de forma “vaga”. En este último caso, el estado no se guarda hasta que el nuevo proceso ejecute una operación de punto flotante que requiera salvar datos en los registros de la unidad. Es decir, en esta modalidad la FPU no realiza salvado ni recuperación de estados a no ser que realmente se necesite, ahorrando varios ciclos de computación.

Al igual que las dos vulnerabilidades antes mencionadas, el error está efectivamente relacionado con la ejecución especulativa, pero en este caso es el software el que puede elegir entre el guardado inmediato o “vago” de contexto, por lo que los fabricantes de sistemas operativos podrán corregir esta vulnerabilidad a través de una actualización de software.

Aunque no existen muchos detalles más allá de estos, parece ser similar a la variante 3A de Spectre (Rogue System Register Read). Este error podría permitir la obtención de información sensible almacenada por distintas aplicaciones, incluyendo claves de cifrado, lo que la convierte en una vulnerabilidad con un fuerte impacto.

Actualmente la vulnerabilidad no afecta a los procesadores AMD, tampoco a las últimas versiones de OpenBSD, DragonflyBSD, Linux con kernel 4.9 o las versiones de Windows más modernas, aunque Microsoft no ha dado muchos detalles al respecto más allá de confirmar un parche en julio.

También se sabe que Intel está trabajando con el equipo de Red Hat para dar solución a este problema con la máxima celeridad.

New ‘Lazy FP State Restore’ Vulnerability Found in All Modern Intel CPUs:

https://thehackernews.com/2018/06/intel-processor-vulnerability.html

 

RedHat. Lazy FPU Save/Restore

MysteryBot, el nuevo troyano “todo en uno” para Android

Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:

Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:

Registro de pulsaciones: El malware guarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEye yAnubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

RansomwareEste comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zip con contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).

Ataques de superposición: La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso ‘PACKAGE_USAGE_STATS’, que junto con el uso de la claseAccessibilityService y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención eshacerse pasar por la aplicación Adobe Flash Player.

Desde Hispasec recomendamos siempre instalar en Android aplicaciones desde repositorios oficiales, pero además que se realicen unas comprobaciones mínimas como verificar al desarrollador de la aplicación o que sea enlazada desde la página oficial de la compañía.

Más información:

MysteryBot; a new Android banking Trojan ready for Android 7 and 8: