FedexBanker: El nuevo troyano bancario para Android que utiliza tus paquetes para robarte las credenciales Hispasec @unaaldia

Tabla de contenido

En las últimas semanas se ha detectado un nuevo troyano para Android que está afectan a usuarios españoles y que se distribuye como si se tratase una aplicación legítima del servicio de paquetería FedEx.

El investigador de seguridad Daniel López fue el primero en dar la voz de alarma en Twitter sobre una nueva campaña de malware que estaba propagándose a través de mensajes de texto, en los que se proporciona al usuario un enlace a una falsa web de FedEx.

Como podemos apreciar, la web fraudulenta solicita al usuario la instalación de una aplicación para Android con el objetivo de que éste pueda rastrear su deseado paquete. En realidad no hay ningún paquete, y lo único que conseguirá la víctima es instalar una aplicación maliciosa, concretamente un troyano bancario.

Este troyano tiene con principal finalidad robar las credenciales bancarias de sus víctimas, y para ello implementa las técnicas habituales utilizadas por los todos los bankers populares para Android, como ya hemos introducido en otras ocasiones cuando hemos hablado de Cerberus o el reciente Toddler.

Estas estrategias se basan en el abuso de los permisos de accesibilidad para instalar un servicio de accesibilidad en el sistema infectado, lo que permite al troyano recibir todos aquellos eventos de accesibilidad que se producen cuando el usuario interactua con la interfaz. De esta forma, el malware puede mostrar una vista web con una página de phishing (técnica de overlays) tan pronto como detecta la apertura de la aplicación bancaria, o directamente registrar los eventos de cambio en los campos de texto de la aplicación. Pudiendo así obtener el usuario y la contraseña que la víctima introduce en los formularios de la aplicación legítima (keylogging).

La gran diferencia con respecto a las familias anteriormente conocidas se encuentra en el uso de un algoritmo de generación de nombres de dominio, que le permite generar un máximo de 2000 dominios diferentes al mes. De esta forma, el bloqueo de la comunicación con el servidor de control se complica, ya que deben bloquearse estos 2000 dominios que genera cada mes la aplicación (24000 al año).

Código para la generación de la semilla a partir del mes y año
Código utilizado para generar y comprobar cada uno de los dominios del servidor de control

Con este ya son tres los nuevos troyanos bancarios que han aparecido este 2021, y el año solo acaba de comenzar. Debemos seguir atentos a las nuevas amenazas que nos depara este nuevo año.

Más información:

Informe servicio Malware Hispasec: https://hispasec.com/resources/FedexBanker.pdf


Fuente obtenida de: https://unaaldia.hispasec.com/2021/03/fedexbanker-el-nuevo-troyano-bancario-para-android-que-utiliza-tus-paquetes-para-robarte-las-credenciales.html

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.