Etiqueta: Koodous

MysteryBot, el nuevo troyano “todo en uno” para Android

Por si fuera poco el nivel de malware existente en los dispositivos Android en estos tiempos, ahora se le suma la propia evolución de LokiBot, que supone una nueva familia de malware denominada como MysteryBot.

El malware ha sido detectado por investigadores de ThreatFabric durante uno de sus análisis rutinarios de la familia Lokibot, de la cual hereda ciertos comportamientos. Concretamente, ha sido detectado gracias a que MysteryBot tiene el mismo servidor de control que Lokibot.

Podemos corroborar esta información utilizando la plataforma Koodous, en la cual en este momento ya existen muestras clasificadas como MysteryBot:

Las novedades que trae este malware es la combinación de varias vías de ataque que pasamos a desgranar a continuación:

Registro de pulsaciones: El malware guarda las pulsaciones que realiza el usuario en la pantalla, aunque además tiene algunas novedades: también detecta si el teléfono está en horizontal o vertical, datos que utiliza para calcular qué se ha pulsado en el teléfono teniendo en cuenta las dimensiones del dispositivo. Tiene módulos de las familias CryEye yAnubis y, según el código analizado por ThreatFabric, parece estar aún en desarrollo.

RansomwareEste comportamiento resulta ya familiar en el malware móvil, y trata en cifrar el dispositivo para posteriormente pedir un rescate monetario a cambio de su descifrado. En este caso la muestra no cifra datos, sino que los comprime en un archivo zip con contraseña, la cual actualmente no tiene mucha robustez (solo 8 caracteres).

Ataques de superposición: La característica más novedosa de este malware, no tanto por lo que hace si no por su ejecución. Este comportamiento permitía qué, cuando un usuario abre una aplicación legítima, el malware aprovechará para mostrar una interfaz superpuesta, engañando al usuario de forma poco sospechosa. Sin embargo, tras la introducción de Android 7 y 8 ya no era posible realizar ataques de superposición, lo que ha llevado a los creadores de malware a buscar nuevas técnicas. Esta familia abusa del permiso ‘PACKAGE_USAGE_STATS’, que junto con el uso de la claseAccessibilityService y un cálculo correcto de tiempos le permite realizar ataques de superposición con éxito.

Sin duda el malware es novedoso y aprovecha las últimas técnicas de ataque en Android. Actualmente se desconoce si los atacantes tienen alguna campaña de promoción, pero lo que sí podemos observar en la captura facilitada anteriormente es que la intención eshacerse pasar por la aplicación Adobe Flash Player.

Desde Hispasec recomendamos siempre instalar en Android aplicaciones desde repositorios oficiales, pero además que se realicen unas comprobaciones mínimas como verificar al desarrollador de la aplicación o que sea enlazada desde la página oficial de la compañía.

Más información:

MysteryBot; a new Android banking Trojan ready for Android 7 and 8:

El 18% de los móviles Android con aplicaciones bancarias instaladas tienen algún tipo de malware.

Un reciente estudio interno basado en los datos de Koodous llevado a cabo por nosotros mismos (Hispasec), revela un dato ciertamente preocupante: un 18% de los móviles analizados tienen instalado algún tipo de malware. El estudio cruza los datos de usuarios con aplicaciones de banca en línea con el malware detectado por Koodous.

¿Qué es Koodous?

Aunque a día de hoy pensamos que la mayoría de nuestros lectores lo conocen lo recordaremos para los más despistados: Koodous es un antivirus colaborativo para Android que pone a disposición de los analistas de malware todo el potencial de los sistemas de análisis; para que mediante la creación de firmas Yara puedan categorizar las muestras que van siendo recogidas por el sistema. Por lo cual son los analistas los que mediante la creación de firmas categorizan las aplicaciones.

El número de usuarios y aplicaciones maliciosas sigue creciendo.

Según los datos que manejamos desde 2014, y una estimación de los datos recogidos en 2018 podemos calcular la siguiente gráfica que muestra una clara tendencia alcista de aplicaciones fraudulentas.

Según datos de la agencia Gartner, el número de terminales móviles con sistema operativo Android no para de crecer, aunque si bien es cierto que iOS mantiene un crecimiento superior al de Android, la cuota de mercado de Android cercana al 86% dan una ventaja que explica entre otras cosas el interés de los atacantes en esta plataforma para la creación de amenazas. Si bien es cierto que existen otros factores determinantes como lo abierto del sistema operativo o que históricamente iTunes ha implementado controles más severos para controlar la subida de aplicaciones.

Por todo esto, desde Hispasec, ponemos a disposición de las empresas preocupadas por la proliferación de malware en los sistemas Android de sus clientes, un servicio que les permita mantener una visual de las aplicaciones fraudulentas presentes en los terminales. Este servicio unido a nuestro departamento Antifraude acota drásticamente las aplicaciones a analizar en busca de amenazas diseñadas para el robo o uso fraudulento de la marca de nuestros clientes.

¿Cómo funciona?

MAIA usa la base de datos de Koodous para que de forma inmediata se pueda tener una visual de la seguridad de los usuarios de su aplicación. Para que el muestreo no sea vinculante a los usuarios que tienen la aplicación de Koodous instalada, MAIA ofrece un SDK que se puede integrar junto a su aplicación para poder tener no sólo el muestreo total de sus usuarios sino poder identificar al usuario concreto que está afectado por malware.

Nueva actualización de Koodous disponible en Google Play

El pasado 3 de mayo se publicó en Google Play una nueva versión de Koodous. Concretamente la 2.1.10, que introduce cambios en su interfaz y nuevas funcionalidades que repasaremos a continuación.

 

Cuando empezamos en 2015, Koodous contaba con un dataset de aplicaciones de a penas 3 millones de muestras. Hoy día contamos con más de 28 millones de APK y un volumen de más de 10.500 usuarios activos, de los cuales más de 3.500 son analistas.

Para quienes no lo conozcan, Koodous Mobile funciona como antivirus, protegiendo tu dispositivo Android de aplicaciones maliciosas como troyanos, virus y publicidad abusiva.

¿Qué diferencia a Koodous de los antivirus tradicionales?

Básicamente dos cosas: por un lado el repositorio de muestras, que a día de hoy cuenta con más de 28 millones de APK. Y por otro, una comunidad creciente y activa de analistas que ayudan con sus reglas a detectar nuevas familias de malware y aplicaciones potencialmente no deseadas.

La nueva aplicación se ha reescrito casi desde cero para reducir aún más el impacto en el rendimiento, incluso en dispositivos antiguos.

Estas son las principales novedades:

Nueva interfaz

Los cambios en la interfaz permiten tener una visual más inmediata de la seguridad de nuestros dispositivos. Además se simplifica el funcionamiento: automáticamente Koodous Mobile comprobará contra su base de datos las nuevas instalaciones y actualizaciones instaladas en el dispositivo, de forma transparente al usuario. En caso de detectar alguna aplicación maliciosa se notificará al usuario y se proporcionará un acceso directo a la solución.

También se ha cuidado su estética, haciéndola visualmente más atractiva en móviles y tablets.

Instalador

Se introduce como novedad un “instalador” que comprueba la aplicación antes de que se instale en el sistema. De esta manera es posible parar el malware antes de que pueda afectar a nuestro dispositivo.

Koodous previene instalar una aplicación potencialmente maliciosa

Información extendida

Una nueva vista muestra información detallada sobre las aplicaciones instaladas en el dispositivo. De este modo se pueden revisar los permisos o realizar un análisis más exhaustivo de la aplicación a través la plataforma web.



Si aún no lo has probado os animamos a instalar esta nueva versión y proteger vuestros dispositivos con Koodous.