BianLian Android Banking Trojan actualizado con Screen Recorder

BianLian Android Banking Trojan actualizado con Screen Recorder
4.9 (97.5%) 8 votos

BianLian Android Banking Trojan actualizado con Screen Recorder

El troyano bancario BianLian se ha actualizado con dos nuevos módulos diseñados para grabar las pantallas de dispositivos Android infectados y crear un servidor SSH para camuflar sus canales de comunicación.

Si bien BianLian se desarrolló inicialmente como un cuentagotas bajo diseñado para ser un conducto de transporte para malware de Android más capaz como observado Por los investigadores de ThreatFabric durante 2018, sus desarrolladores finalmente agregaron varios módulos nuevos que lo convirtieron en un troyano bancario.

Los componentes adicionales permiten que el malware envíe mensajes de texto, ejecute códigos USSD arbitrarios, bloquee las pantallas de dispositivos comprometidos e inyecte notificaciones push y realice ataques de superposición que le permitan robar credenciales bancarias.

Los investigadores de FortiGuard Labs han descubierto otra muestra de BianLian que sus maestros han mejorado aún más, distribuida en forma de un APK muy ofuscado que se basa "en generar una variedad de funciones aleatorias para ocultar las funcionalidades reales de la muestra".

Solicitud de permisos "height =" 461 "width =" 261 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/July 2019 / Solicitud de permisos.png "class =" b-lazy "/><strong>Solicitud de permisos</strong></figure>
<p>Sin embargo, pudieron eludir la gran cantidad de clases inútiles con nombres generados aleatoriamente diseñados para desalentar a los analistas de malware y descubrieron que la muestra de malware es parte de la familia de malware BianLian mencionada anteriormente.</p><div class='code-block code-block-11 ai-viewport-3' style='margin: 8px auto; text-align: center; display: block; clear: both;'>
<script async src=

FortiGuard Labs descubrió después de analizar el comportamiento de la muestra que lo primero que hace la "aplicación maliciosa es ocultar su ícono y constantemente solicita permiso para abusar de las funcionalidades de los servicios de accesibilidad hasta que se otorgue".

Después de engañar a sus víctimas para que le otorguen permisos para inspeccionar el contenido de la ventana y observar texto como números de tarjeta y contraseñas escritas en varias aplicaciones de Android, el troyano BianLian cargará sus módulos, listo para abusar de los servicios de accesibilidad en el dispositivo Android comprometido.

Recomendamos:  Los smartphones con cámaras de 192MP están llegando, dice ejecutivo de Qualcomm

BianLian cargará los dos módulos más antiguos presentes en las versiones anteriores del malware y los componentes recién agregados diseñados para expandir sus capacidades.

Módulos antiguos:
• texto: envía, recibe y registra mensajes SMS
• ussd: ejecuta códigos USSD y realiza llamadas
• inyecciones: ejecute ataques de superposición, principalmente en aplicaciones bancarias
• casillero: bloquea la pantalla, dejando el dispositivo inutilizable para un usuario

Nuevos módulos:
• screencast: pantalla del dispositivo de grabación
• socks5: crea un servidor SSH

El nuevo componente Socks5 permite al troyano bancario "crear un servidor SSH en funcionamiento en el dispositivo utilizando JSCH (Java Secure Channel), una biblioteca que implementa SSH2 en Java puro".

Con la ayuda de este servidor, BianLian canalizará sus canales de comunicación de comando y control (C2) utilizando un proxy SSH que emplea el reenvío de puertos en el puerto 34500 para ocultar el tráfico C2 de miradas indiscretas.

El módulo Screencast permite que el malware grabe las pantallas de sus víctimas mediante la creación de una pantalla virtual con el paquete Android.media.projection.MediaProjection de Android, y la grabación se inicia de forma remota después de desbloquear la pantalla del dispositivo.

Nuevos módulos BianLin "height =" 314 "width =" 873 "data-src =" https://www.bleepstatic.com/images/news/u/1109292/July 2019 / New BianLin modules.png "class =" b -perezoso "/></p>
<p>BianLian también soltará una carga maliciosa en dispositivos Android infectados que le permite verificar si "Google Play Protect está activo a través de la API de Google SafetyNet".</p>
<p>"Las funcionalidades agregadas, aunque no son completamente originales, son efectivas y hacen que esta familia sea potencialmente peligrosa. Su base de código y estrategias lo ponen a la par de los otros grandes jugadores en el espacio de malware bancario", concluye el equipo de FortiGuard Labs.</p>
<div style=

Los investigadores proporcionan una lista completa de indicadores de compromiso (IOC), incluidos malware y hashes de carga útil, dominios de servidor C2 y una lista de aplicaciones bancarias específicas al final de su análisis de malware BianLian.

Número de ataques con troyanos de banca móvilNúmero de ataques con troyanos de banca móvil

El número de usuarios de Android a los que los ciberdelincuentes atacaron el malware bancario registró un alarmante aumento del 300% en 2018, con aproximadamente 1.8 millones de ellos finalmente se vieron afectados por al menos uno de esos ataques durante el último año, según lo detallado por Kaspersky Lab en su informe "Financial Cyberthreats in 2018".

Un informe posterior sobre la evolución del malware móvil para 2018 también publicado por Kaspersky Lab en marzo mostró que, si bien los troyanos bancarios y cuentagotas han visto un aumento constante en el número de muestras únicas detectadas, los troyanos bancarios Asacub y Hqwar fueron los más frecuentes.

Dejános tus Comentarios: