Falso WeChat – Nuevo troyano bancario

Hoy en día, los servicios financieros en Internet crecen rápidamente. Desde los dispositivos móviles se puede acceder a cada vez más servicios financieros online. Sin duda, esto es muy conveniente para los usuarios e impulsa el desarrollo económico. Las aplicaciones móviles están explorando esta nueva frontera, incluyendo los servicios de pago protegidos con contraseña, y otras funciones comunes, como la mensajería. Para los ciberdelincuentes, esta es una oportunidad para robar datos confidenciales y el dinero de los usuarios.

WeChat es un conocido servicio de mensajería instantánea en China. Muchos lo usan para charlar con sus amigos y colegas, pero este servicio también permite realizar pagos. Es muy fácil de usar, pero eso significa que tienes que vincular tus datos bancarios con tu cuenta de WeChat. La gran cuota de mercado que abarca este servicio provoca que sea muy tentador para los ciberdelincuentes, que ya están desarrollando troyanos bancarios que lo imiten.

Hace poco, Kaspersky Lab interceptó un nuevo troyano bancario de este tipo. Se detectó como Trojan-Banker.AndroidOS.Basti.a. Esta aplicación Android se camufla en el dispositivo como la aplicación normal WeChat.

Pide algunos privilegios especiales, como android.permission.RECEIVE_SMS.

Para evitar que los analistas antivirus hagan la ingeniería inversa del código, sus creadores lo cifraron con ‘bangcle secapk’. No pudimos obtener ningún dato relevante de esta muestra cifrada.

Después de descifrarlo, descubrimos sus habilidades reales. Es capaz de realizar varias acciones maliciosas. También contiene algunos paquetes que hacen que su GUI luzca más profesional, lo que a su vez lo convierte en una poderosa herramienta phishing.

Cuando se lo ejecuta, abre un GUI especial para que el usuario introduzca sus datos bancarios, incluyendo el número de su tarjeta bancaria, su código PIN, y el número de su teléfono móvil.

Después de obtener esta información, el troyano lo envía al correo del autor.

Este troyano bancario también registra un BootReceiver
que monitorea los nuevos mensajes de texto entrantes y desactiva la transmisión del dispositivo infectado. El troyano también envía estos mensajes al correo del autor.

La dirección de correo del autor aparece en texto llano en el código. Sigamos.

Cuando analizamos la bandeja de entrada, encontramos muchas víctimas.

Aunque está bloqueada por 126 servidores de correo, ya se ha robado y archivado la información de muchas víctimas.

A medida que los servicios financieros online se hacen más populares, debemos ser más cautos con nuestra privacidad. Los usuarios de dispositivos móviles ya están bajo amenaza, por lo que deben protegerse. Te recomendamos:

• Instalar una solución de seguridad móvil.
• Actualizar siempre la solución a su última versión.
• NO visitar sitios web sospechosos ni descargar aplicaciones desconocidas.
• Antes de introducir datos confidenciales, asegurarte de saber quién te los pide y por qué.