¿Qué es Bankbot?

BankBot es un troyano bancario que se hace pasar por una aplicación aparentemente benigna, como WhatsApp o Runtastic. Cuando la aplicación se instala y ejecuta, solicita privilegios administrativos. Una vez que se otorgan estos privilegios, el icono desaparece de la pantalla de inicio. A partir de ese momento, el dispositivo se ve comprometido.

Posteriormente, BankBot intenta robar sus credenciales bancarias (por ejemplo, nombre de usuario y PIN) y la información de la tarjeta de crédito utilizando una técnica conocida llamada superposición . Esto significa que el malware crea una ventana que imita la apariencia de la aplicación de banca móvil dirigida, y que tiene como objetivo engañar a los usuarios para que ingresen sus credenciales. Esta ventana superpuesta se coloca en la parte superior de la aplicación de destino cuando el usuario la inicia. Como la ventana de superposición se crea para parecerse exactamente a la aplicación de destino, los usuarios generalmente creen que están interactuando con la aplicación de banca móvil genuina.

Figura 1: Ejemplos de superposiciones utilizadas por BankBot (fuente: Securify)

El proceso de BankBot para crear y mostrar una superposición es el siguiente. Primero, BankBot obtiene la lista de procesos que se ejecutan en el dispositivo. Los comentarios en el código han sido agregados por nuestro analista de amenazas Ernesto Corral para simplificar la lectura.

A continuación, BankBot obtiene los nombres reales de los procesos en ejecución utilizando el siguiente comando:

Posteriormente, BankBot compara estos nombres con una lista de nombres de aplicaciones de banca móvil a las que apunta. Algunos ejemplos de aplicaciones actualmente dirigidas por BankBot son:

Si el nombre de un proceso en ejecución coincide con un nombre en la lista de objetivos, BankBot finalmente crea una superposición y lo coloca en la parte superior de la aplicación de destino.

La superposición en sí consiste en un WebView personalizado, que es un componente de Android que se puede usar para mostrar una página web dentro de una aplicación:

El troyano BankBot descarga el contenido para WebView sobre la marcha desde el servidor C2 y lo muestra dentro de un componente WebView de su aplicación.

Protección contra los ataques de superposición de BankBot

Para defender las aplicaciones de banca móvil contra ataques de superposición, recomendamos que estén protegidas mediante dos técnicas, a saber, la tecnología de autoprotección de aplicaciones en tiempo de ejecución (RASP) y la funcionalidad de autenticación de dos factores.

RASP, que es un término acuñado por Gartner, protege las aplicaciones móviles contra intrusiones a nivel de aplicación, como los ataques de superposición. Las soluciones RASP interfieren con el proceso del troyano bancario para crear y mostrar superposiciones. Es importante que las instituciones financieras elijan una solución RASP que brinde protección genérica de superposición. Esto significa que la solución RASP no debe proporcionar protección contra muestras de malware específicas (por ejemplo, la última muestra de BankBot), sino contra múltiples familias de malware, como BankBot, svpeng y Marcher. Marcher es una de las familias de malware bancario más activas de 2016 según el informe de Financial Cyberthreats de Kaspersky en 2016 . Las buenas soluciones RASP pueden ser genéricas porque nuestro análisis ha demostrado que muchas familias de malware usan técnicas similares para crear superposiciones.

La tecnología de autenticación de dos factores, por otro lado, asegura que las credenciales bancarias robadas mediante un ataque de superposición son de poco valor para un estafador. Las aplicaciones protegidas de esta manera usan dos elementos de autenticación diferentes: algo que el usuario sabe (por ejemplo, el PIN), pero también algo que el usuario tiene (es decir, una clave criptográfica almacenada en el dispositivo móvil, que se utiliza para generar contraseñas de un solo uso). Si bien los ataques de superposición se pueden usar para atacar el factor de conocimiento, no pueden atacar el factor de posesión para robar la clave criptográfica.

Puedes seguir leyendo sobre esto aquí.

More Interesting

Cómo cambiar mi país o región en mi teléfono Android que no sea a través de Play Store

Problema de ASO: recientemente cambié el "nombre del desarrollador" en Play Market. Ahora mi aplicación casi no se puede buscar. ¿Cómo puedo arreglarlo?

Como desarrollador, ¿qué ves como incorrecto / roto en Google Play y el programa de soporte para desarrolladores de Google?

¿Cómo aumento las instalaciones de la aplicación Google Play sin ASO?

¿Son reales todas las reseñas en la tienda Google Play?

¿Cómo descargo Google Play Store?

¿Cuál es el juego de rompecabezas gratuito más increíble / divertido / transcurrido en el mercado de Android en la actualidad?

¿Es necesario probar que la aplicación de enlaces profundos debería estar en Play Store?

En mi aplicación de Android, un usuario puede programar el envío de mensajes SMS con texto predefinido o editable. En ese día programado, mi aplicación enviará automáticamente ese SMS programado sin informar al usuario. ¿Viola la política de Google Play?

Cuando instalo una aplicación en un teléfono Android, ¿por qué el tamaño de la aplicación se duplica en la memoria del teléfono en comparación con su tamaño real que se muestra en Play Store?

¿Por qué Google no vende el teléfono Nexus en más países?

¿Cuál es el procedimiento para publicar una aplicación en la tienda Google Play?

Cómo obtener más descargas y reseñas en Google Play para un juego recién publicado

¿Debo usar mi propio nombre o el de una empresa / grupo para mi cuenta de desarrollador de Google Play?

¿Puedo iniciar una aplicación de Android en Google Play Store desde Pakistán?