BankBot es un troyano bancario que se hace pasar por una aplicación aparentemente benigna, como WhatsApp o Runtastic. Cuando la aplicación se instala y ejecuta, solicita privilegios administrativos. Una vez que se otorgan estos privilegios, el icono desaparece de la pantalla de inicio. A partir de ese momento, el dispositivo se ve comprometido.
Posteriormente, BankBot intenta robar sus credenciales bancarias (por ejemplo, nombre de usuario y PIN) y la información de la tarjeta de crédito utilizando una técnica conocida llamada superposición . Esto significa que el malware crea una ventana que imita la apariencia de la aplicación de banca móvil dirigida, y que tiene como objetivo engañar a los usuarios para que ingresen sus credenciales. Esta ventana superpuesta se coloca en la parte superior de la aplicación de destino cuando el usuario la inicia. Como la ventana de superposición se crea para parecerse exactamente a la aplicación de destino, los usuarios generalmente creen que están interactuando con la aplicación de banca móvil genuina.
- Cómo crear mi propia aplicación de Android y ponerla en Google Playstore
- ¿Cuánto ganan en promedio las aplicaciones / juegos en Google Play Store? ¿O comienzan a pagar después de un no particular? de descargas?
- ¿Un pedido cancelado en Google Play Store significa que está recibiendo un reembolso?
- ¿Qué es la certificación de dispositivos en Google Play Store?
- ¿Google Play comprueba si las aplicaciones cargadas en la tienda de aplicaciones son maliciosas?
Figura 1: Ejemplos de superposiciones utilizadas por BankBot (fuente: Securify)
El proceso de BankBot para crear y mostrar una superposición es el siguiente. Primero, BankBot obtiene la lista de procesos que se ejecutan en el dispositivo. Los comentarios en el código han sido agregados por nuestro analista de amenazas Ernesto Corral para simplificar la lectura.
A continuación, BankBot obtiene los nombres reales de los procesos en ejecución utilizando el siguiente comando:
Posteriormente, BankBot compara estos nombres con una lista de nombres de aplicaciones de banca móvil a las que apunta. Algunos ejemplos de aplicaciones actualmente dirigidas por BankBot son:
Si el nombre de un proceso en ejecución coincide con un nombre en la lista de objetivos, BankBot finalmente crea una superposición y lo coloca en la parte superior de la aplicación de destino.
La superposición en sí consiste en un WebView personalizado, que es un componente de Android que se puede usar para mostrar una página web dentro de una aplicación:
El troyano BankBot descarga el contenido para WebView sobre la marcha desde el servidor C2 y lo muestra dentro de un componente WebView de su aplicación.
Protección contra los ataques de superposición de BankBot
Para defender las aplicaciones de banca móvil contra ataques de superposición, recomendamos que estén protegidas mediante dos técnicas, a saber, la tecnología de autoprotección de aplicaciones en tiempo de ejecución (RASP) y la funcionalidad de autenticación de dos factores.
RASP, que es un término acuñado por Gartner, protege las aplicaciones móviles contra intrusiones a nivel de aplicación, como los ataques de superposición. Las soluciones RASP interfieren con el proceso del troyano bancario para crear y mostrar superposiciones. Es importante que las instituciones financieras elijan una solución RASP que brinde protección genérica de superposición. Esto significa que la solución RASP no debe proporcionar protección contra muestras de malware específicas (por ejemplo, la última muestra de BankBot), sino contra múltiples familias de malware, como BankBot, svpeng y Marcher. Marcher es una de las familias de malware bancario más activas de 2016 según el informe de Financial Cyberthreats de Kaspersky en 2016 . Las buenas soluciones RASP pueden ser genéricas porque nuestro análisis ha demostrado que muchas familias de malware usan técnicas similares para crear superposiciones.
La tecnología de autenticación de dos factores, por otro lado, asegura que las credenciales bancarias robadas mediante un ataque de superposición son de poco valor para un estafador. Las aplicaciones protegidas de esta manera usan dos elementos de autenticación diferentes: algo que el usuario sabe (por ejemplo, el PIN), pero también algo que el usuario tiene (es decir, una clave criptográfica almacenada en el dispositivo móvil, que se utiliza para generar contraseñas de un solo uso). Si bien los ataques de superposición se pueden usar para atacar el factor de conocimiento, no pueden atacar el factor de posesión para robar la clave criptográfica.
Puedes seguir leyendo sobre esto aquí.
