BankBot detrás de DexProtector, una App de Google Play

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Nuevas investigaciones de analistas de seguridad anuncian un nuevo malware bancario en Google Play llamado DexProtector, que tiene muchos objetivos nuevos de aplicaciones bancarias en su configuración.

Me pareció diferente de las muestras habituales de BankBot, ya que se etiquetó como DexProtector, una herramienta para ofuscar fuertemente los APK.

Además, el nombre de la aplicación no es el nombre popular habitual (es decir, Flash Player, HD Coded o Google Play Update), lo cual infiere que hay algo más procesado detrás de esto.

Al mirar los nombres de las actividades y otros elementos manifiestos, parece una aplicación normal con malware insertado.

Aparentemente la aplicación se actualizó recientemente (8 de abril de 2017) y esto fue muy probable cuando se agregó el malware.

Aparentemente, parece que tiene instalaciones de 1k a 5k, lo cual no es mucho para una aplicación normal, pero es bastante para malware.

La clave de la muestra utilizada para la comparación terminó siendo la misma que se utilizó en la muestra de Google Play, por lo que no fue necesario tener que perder tiempo adicional para descubrirlo.

Lanzar los datos del servidor obtenidos en el código de Java y ejecutar el programa, lo que da como resultado los datos desofuscados que contienen una lista de todas las aplicaciones segmentadas.

Para mi total asombro, la lista es más extensa de lo esperado y, por primera vez, contiene algunos nuevos objetivos de bancos holandeses, incluidos ABN, Rabobank, ASN, Regiobank y Binck.

Presumo que el juego comenzó una vez más después de un período de anonimato manifiesto.

Hasta ahora, no tengo motivos para creer que la funcionalidad del malware sea significativamente diferente de las muestras anteriores, pero lo echaré un vistazo más de cerca.

Los usuarios finales deben prestar especial atención a las nuevas App que aparecen en Google Store, la sola aparición en el sitio oficial, no es ninguna garantía de originalidad o seguridad manifiesta.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris