BasBanke: un troyano bancario brasileño que marca tendencia

BasBanke es una nueva familia de programas maliciosos que ataca a los usuarios en Brasil. Se trata de un troyano bancario disenado para robar datos financieros, como credenciales, numeros de tarjetas bancarias, y otros. La propagacion de esta amenaza comenzo durante las elecciones presidenciales de Brasil en 2018, con mas de 10 000 instalaciones registradas hasta abril de 2019, solo en la tienda oficial Google Play.

Este programa malicioso puede realizar tareas como el registro de actividad en el teclado, capturas de pantalla, intercepcion de SMS, robo de tarjetas de credito y de datos financieros. Para inducir a los usuarios a descargar este malware, los autores lo publicitan a traves de Facebook y WhatsApp. Las nuevas URLs de la campana desvian a las victimas a la tienda oficial Google Play o a un sitio que aloja paquetes APK maliciosos.

Aplicaciones maliciosas usadas para distribuir BasBanke y que se encuentran en Google Play Store

Las aplicaciones maliciosas alojadas en Google Play Store estan camufladas como un lector de QR, una aplicacion falsa de una agencia de viajes real con ofertas de viajes y, una que implementa una artimana completamente novedosa: una aplicacion del tipo “mira quien visito tu perfil”. La aplicacion maliciosa mas propagada es una version falsa de CleanDroid, que al principio se anunciaba como un aviso pagado en Facebook y que vincula a la aplicacion alojada en Google Play. Esta aplicacion “milagrosa” ofrece proteccion para el dispositivo de la victima contra malware, la optimizacion de la memoria y el almacenamiento de datos mediante una conexion 3G o 4G. Pero en realidad se trata de un troyano bancario.

La aplicacion maliciosa CleanDroid que aparece en el aviso de Facebook. Fuente: Defesa Digital

La cantidad de aplicaciones bancarias y sitios web que tiene como blanco es impresionante. Se encuentran en su lista de blancos un numero considerable de instituciones financieras en Brasil, y sitios web populares, como Spotify, YouTube y Netflix. Sin embargo, cuando se trata de robar credenciales bancarias, los metadatos como el nombre del dispositivo, el IMEI y el numero de telefono usado por la victima se envian a un servidor de administracion remoto. ?Por que se presta tanta atencion a estos datos? Bueno, los estafadores los necesitan para fingir que el acceso que hacen a la cuenta de la victima es legitimo.

Metadatos extraidos del telefono y enviados al servidor C2 remoto

Dependiendo de la version de este programa malicioso, hemos detectado diferentes objetivos, y todos son instituciones financieras. Ademas, una amplia lista de palabras clave define que marcas o sitios web activaran el procedimiento de registro de actividad en el teclado.

Ya habiamos encontrado algunas campanas maliciosas similares a esta, pero con una distribucion bastante menor a la de BasBanke. Otra diferencia es que BasBanke utiliza Facebook y WhatsApp como vectores de distribucion masiva. Asimismo, parece haber inspirado nuevas ideas entre los ciberpiratas brasilenos, tras demostrar lo facil que es infectar un dispositivo Android con una aplicacion maliciosa desde la tienda oficial. Los responsables de BasBanke han demostrado que la funcion Play Protect no es suficiente para detenerlos y neutralizar sus programas maliciosos. De hecho, BasBanke es el precursor de una campana maliciosa mayor sobre la que informaremos pronto.

IoC de referencia

Hashes

• 00de6f665a41be232a4df975944a2580
• 0f455547228459c65044845671c9de83
• 5ff98c27c34ec90c82bb46c28453e3e0
• 41301a295044410c41d547e6abc9a1a9
• e1dfeee5bb82b27c5866da16063aa833
• 1aa0a4992168953a631a625ab181e236
• 11edce35dad85f3e188bfd13b718d19c
• 79cf391a3ae2477cd804c68850dba80d
• 6938b27cdbc5ac5e98fd2a34bde034a6
• 7e1bb73f514b6af7be16ab5bcb0efa5e

Dominios

• dodothebest.esy[.]es
• zalthome.esy[.]es
• servcobranca[.]in
• ibercob.com[.]br
• rootcenter.com[.]br
• royhols[.]com
• autopecasecreta.com[.]br
• investcerto[.]site
• bancobrasil[.]mobi
• citiapp[.]mobi
• ltau[.]mobi
• moduloempresa[.]com
• noisquevoa[.]mobi
• pagseguro[.]mobi
• aplicativo-sms[.]com

?Desea saber mas? Escribanos a: financialintel@kaspersky.com