Código fuente de malware para Android publicado se usa para controlar una botnet

Código fuente de malware para Android publicado se usa para controlar una botnet

El nuevo malware bancario para Android que ESET descubrió hace poco en Google Play fue detectado in-the-wild nuevamente, apuntando a más bancos. Una investigación más profunda de esta amenaza demostró que se construyó usando código fuente que se había publicado hace un par de meses.

La versión previa, detectada por ESET como Trojan.Android/Spy.Banker.HU (versión 1.1 según marcaba su autor en el código fuente), se reportó el 6 de febrero. El malware se distribuía a través de Google Play como una versión troyanizada de una aplicación legítima para el pronóstico del tiempo, llamada Good Weather. El troyano tenía como blanco a 22 apps de banca móvil turcas, e intentaba recolectar credenciales usando formularios de login falsos. Además, podía bloquear y desbloquear dispositivos infectados, así como interceptar mensajes.

El domingo pasado descubrimos una nueva versión de este troyano en la tienda, haciéndose pasar por otra app legítima de pronóstico del tiempo; esta vez era World Weather. Este troyano, detectado por ESET como Trojan.Android/Spy.Banker.HW (versión 1.2), estuvo disponible en Google Play desde el 14 de febrero hasta que fue reportada por ESET y eliminada el 20 de febrero.

Armando el rompecabezas

El segundo descubrimiento desencadenó otra ronda de investigación, que trajo interesantes revelaciones.

Resulta que ambos troyanos para Android están basados en un código fuente gratuito que se había publicado en línea. La “plantilla” de este malware móvil, supuestamente escrita desde cero, así como el código del servidor de C&C incluyendo un panel de control web, estaban disponibles en un foro ruso desde el 19 de diciembre de 2016.

Cuando buscamos más información llegamos a unos hallazgos de Dr. Web, que analizó una de las variantes anteriores del malware, a la cual nuestros sistemas detectaban desde el 26 de diciembre de 2016 como Android/Spy.Banker.HH.

Sin embargo, esta variante no está directamente conectada con aquellas que encontramos en Google Play, aunque la detectamos bajo el mismo nombre que a la versión 1.0. Pudimos confirmar esto tras lograr acceder al panel de control del servidor de C&C de la botnet, que estaba activo al momento de nuestra investigación. En este lugar pudimos obtener información sobre las versiones de malware en los más de 2800 bots infectados....LEER NOTICIA COMPLETA.