Cannabis: expande las amenazas para Android

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

GanjaMan, un conocido cibercriminal, ha publicado en el foro underground un anuncio sobre la venta de códigos fuente de «Cannabis», una bot bancaria para Android.

Cannabis no es lo único interesante a nivel de análisis, ya que GanjaMan es una persona famosa en los mercados ilegales: es reconocido como el autor del troyano bancario GM bot (conocido como Mazar)

Dicho vector fue publicado el 27 de octubre del año con un anuncio de actualización del malware Android «Mazar» (alias GMBot) en el foro subterráneo exploit.in.

La principal diferencia de la versión antigua es la protección de bypass del sistema operativo Android 6 Marshmallow. El troyano es capaz de identificar las aplicaciones que se muestran en primer plano y mostrar superposición falsa para presentar la aplicación.

Este cibercriminal también es reconocido como autor de otros vectores Android tales como Android VBV Grabber, cargador colocado en Google Play, como «GM CryptoLocker»

Funciones atribuidas a este malware:

  • Incluye códigos fuente de software y protocolo de comunicación entre la aplicación y el servidor
  • Administrador de SMS
  • VBV grabber
  • Paquete de páginas bancarias falsas estándar
  • Funciones Push, BlackList, GrabContacts

La venta está dirigida a solo 5 compradores; el precio para el primero de los compradores es de 3.000 dólares, para el segundo 4.000 dólares y para el resto 5.000.

En marzo de 2016 la cuenta de GanjaMan fue prohibida en exploit.in, pero en el transcurso de abril de 2017 dicha cuenta fue activada de nuevo.

Recomendaciones corporativas

Siempre es buen momento para aconsejar a los usuarios que instalen únicamente aplicaciones de desarrolladores reconocidos de Google Play. y obviamente que eviten visitar y descargar recursos sospechosos.

El hecho de que una aplicación figure en Google Play o en Apple Store no implica que sea realmente segura.

Amenazas que activa esta aplicación

Este malware expone el riesgo a robo de dinero y datos críticos.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris