Bola de Nieve: venden el código fuente de Exobot

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Un actor malicioso apodado Android responsable de Exobot comenzó un nuevo servicio de alquiler de bot Android llamado Exobot v1 en junio de 2016.

El malware en uso fue creado para poder apuntar a muchos bancos con los llamados ataques de superposición (también conocidos como inyecciones).

Después de un año de exitosa campaña de Exobot v1, en mayo de 2017 el actor “Android” decidió crear una nueva versión del malware casi desde cero, denominada Exobot v2.

En algún momento, el actor incluso vendió audazmente Exobot a través de un sitio web público (“exoandroidbot.net” estuvo en línea durante más de medio año), lo cual es muy poco común para los troyanos bancarios.

Las nuevas capacidades de bot de Exobot v2

Lo que hizo especial a la versión 2 fueron las características del bot.

Esas funciones son mucho mejores y más completas que cualquier otro troyano bancario de Android, como Mazar 3.0, Lokibot v2 o Anubis 2 (alias Bankbot v2), lo que resultó en su éxito.

El actor no solo se centró en la ofuscación del código bot para disminuir su tasa de detección (FUD), sino también en funciones que podrían eludir los mecanismos de detección de fraude, como el uso de un proxy SOCKS5 en el dispositivo víctima para realizar realmente la transacción desde el dispositivo de la víctima (incluso hemos visto solicitudes de compradores subterráneos para un módulo VNC incorporado).

Seguir esta dirección es otorgar a los banqueros andinos Troyanos capacidades de RAT, que pronosticamos a principios de 2017.

Esperamos que los banqueros de Android continúen desarrollando capacidades de RAT estables el próximo año ya que el código fuente troyano más fuerte de Android ahora está en manos de muchos nuevos actores.

Los cambios recientes

A principios de diciembre de 2017, el actor detrás de Exobot, apodado “android”, anunció en un foro clandestino que vendería el código fuente de su malware a un número limitado de compradores antes de abandonar el negocio.

Los rumores en la DarkWeb dicen que se hizo muy rico. Tal afirmación en el mundo del malware generalmente significa una de las siguientes dos cosas: o el actor nota el aumento del interés de las fuerzas del orden y / o hay competidores que luchan contra su cuota de mercado, o bien su negocio ha sido muy fructífero y es el riesgo de relación con la ganancia ya no es de su interés.