Descripciones de malware

Falso WeChat – Nuevo troyano bancario

Hoy en día, los servicios financieros en Internet crecen rápidamente. Desde los dispositivos móviles se puede acceder a cada vez más servicios financieros online. Sin duda, esto es muy conveniente para los usuarios e impulsa el desarrollo económico. Las aplicaciones móviles están explorando esta nueva frontera, incluyendo los servicios de pago protegidos con contraseña, y otras funciones comunes, como la mensajería. Para los ciberdelincuentes, esta es una oportunidad para robar datos confidenciales y el dinero de los usuarios.

WeChat es un conocido servicio de mensajería instantánea en China. Muchos lo usan para charlar con sus amigos y colegas, pero este servicio también permite realizar pagos. Es muy fácil de usar, pero eso significa que tienes que vincular tus datos bancarios con tu cuenta de WeChat. La gran cuota de mercado que abarca este servicio provoca que sea muy tentador para los ciberdelincuentes, que ya están desarrollando troyanos bancarios que lo imiten.

Hace poco, Kaspersky Lab interceptó un nuevo troyano bancario de este tipo. Se detectó como Trojan-Banker.AndroidOS.Basti.a. Esta aplicación Android se camufla en el dispositivo como la aplicación normal WeChat.

Pide algunos privilegios especiales, como android.permission.RECEIVE_SMS.



Para evitar que los analistas antivirus hagan la ingeniería inversa del código, sus creadores lo cifraron con ‘bangcle secapk’. No pudimos obtener ningún dato relevante de esta muestra cifrada.

Después de descifrarlo, descubrimos sus habilidades reales. Es capaz de realizar varias acciones maliciosas. También contiene algunos paquetes que hacen que su GUI luzca más profesional, lo que a su vez lo convierte en una poderosa herramienta phishing.

Cuando se lo ejecuta, abre un GUI especial para que el usuario introduzca sus datos bancarios, incluyendo el número de su tarjeta bancaria, su código PIN, y el número de su teléfono móvil.

Después de obtener esta información, el troyano lo envía al correo del autor.



Este troyano bancario también registra un BootReceiver
que monitorea los nuevos mensajes de texto entrantes y desactiva la transmisión del dispositivo infectado. El troyano también envía estos mensajes al correo del autor.





La dirección de correo del autor aparece en texto llano en el código. Sigamos.

Cuando analizamos la bandeja de entrada, encontramos muchas víctimas.



Aunque está bloqueada por 126 servidores de correo, ya se ha robado y archivado la información de muchas víctimas.



A medida que los servicios financieros online se hacen más populares, debemos ser más cautos con nuestra privacidad. Los usuarios de dispositivos móviles ya están bajo amenaza, por lo que deben protegerse. Te recomendamos:

  • Instalar una solución de seguridad móvil.
  • Actualizar siempre la solución a su última versión.
  • NO visitar sitios web sospechosos ni descargar aplicaciones desconocidas.
  • Antes de introducir datos confidenciales, asegurarte de saber quién te los pide y por qué.

Falso WeChat – Nuevo troyano bancario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada