BasBanke: un troyano bancario brasileño que marca tendencia

BasBanke es una nueva familia de programas maliciosos que ataca a los usuarios en Brasil. Se trata de un troyano bancario diseñado para robar datos financieros, como credenciales, números de tarjetas bancarias, y otros. La propagación de esta amenaza comenzó durante las elecciones presidenciales de Brasil en 2018, con más de 10 000 instalaciones registradas hasta abril de 2019, solo en la tienda oficial Google Play.

Este programa malicioso puede realizar tareas como el registro de actividad en el teclado, capturas de pantalla, intercepción de SMS, robo de tarjetas de crédito y de datos financieros. Para inducir a los usuarios a descargar este malware, los autores lo publicitan a través de Facebook y WhatsApp. Las nuevas URLs de la campaña desvían a las víctimas a la tienda oficial Google Play o a un sitio que aloja paquetes APK maliciosos.

Aplicaciones maliciosas usadas para distribuir BasBanke y que se encuentran en Google Play Store

Las aplicaciones maliciosas alojadas en Google Play Store están camufladas como un lector de QR, una aplicación falsa de una agencia de viajes real con ofertas de viajes y, una que implementa una artimaña completamente novedosa: una aplicación del tipo “mira quién visitó tu perfil”. La aplicación maliciosa más propagada es una versión falsa de CleanDroid, que al principio se anunciaba como un aviso pagado en Facebook y que vincula a la aplicación alojada en Google Play. Esta aplicación “milagrosa” ofrece protección para el dispositivo de la víctima contra malware, la optimización de la memoria y el almacenamiento de datos mediante una conexión 3G o 4G. Pero en realidad se trata de un troyano bancario.

La aplicación maliciosa CleanDroid que aparece en el aviso de Facebook. Fuente: Defesa Digital

La cantidad de aplicaciones bancarias y sitios web que tiene como blanco es impresionante. Se encuentran en su lista de blancos un número considerable de instituciones financieras en Brasil, y sitios web populares, como Spotify, YouTube y Netflix. Sin embargo, cuando se trata de robar credenciales bancarias, los metadatos como el nombre del dispositivo, el IMEI y el número de teléfono usado por la víctima se envían a un servidor de administración remoto. ¿Por qué se presta tanta atención a estos datos? Bueno, los estafadores los necesitan para fingir que el acceso que hacen a la cuenta de la víctima es legítimo.

Metadatos extraídos del teléfono y enviados al servidor C2 remoto

Dependiendo de la versión de este programa malicioso, hemos detectado diferentes objetivos, y todos son instituciones financieras. Además, una amplia lista de palabras clave define qué marcas o sitios web activarán el procedimiento de registro de actividad en el teclado.

Ya habíamos encontrado algunas campañas maliciosas similares a esta, pero con una distribución bastante menor a la de BasBanke. Otra diferencia es que BasBanke utiliza Facebook y WhatsApp como vectores de distribución masiva. Asimismo, parece haber inspirado nuevas ideas entre los ciberpiratas brasileños, tras demostrar lo fácil que es infectar un dispositivo Android con una aplicación maliciosa desde la tienda oficial. Los responsables de BasBanke han demostrado que la función Play Protect no es suficiente para detenerlos y neutralizar sus programas maliciosos. De hecho, BasBanke es el precursor de una campaña maliciosa mayor sobre la que informaremos pronto.

IoC de referencia

Hashes

  • 00de6f665a41be232a4df975944a2580
  • 0f455547228459c65044845671c9de83
  • 5ff98c27c34ec90c82bb46c28453e3e0
  • 41301a295044410c41d547e6abc9a1a9
  • e1dfeee5bb82b27c5866da16063aa833
  • 1aa0a4992168953a631a625ab181e236
  • 11edce35dad85f3e188bfd13b718d19c
  • 79cf391a3ae2477cd804c68850dba80d
  • 6938b27cdbc5ac5e98fd2a34bde034a6
  • 7e1bb73f514b6af7be16ab5bcb0efa5e

Dominios

  • dodothebest.esy[.]es
  • zalthome.esy[.]es
  • servcobranca[.]in
  • ibercob.com[.]br
  • rootcenter.com[.]br
  • royhols[.]com
  • autopecasecreta.com[.]br
  • investcerto[.]site
  • bancobrasil[.]mobi
  • citiapp[.]mobi
  • ltau[.]mobi
  • moduloempresa[.]com
  • noisquevoa[.]mobi
  • pagseguro[.]mobi
  • aplicativo-sms[.]com

¿Desea saber más? Escríbanos a: financialintel@kaspersky.com  

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *