Exobot v2 acelera los motores de innovación cibercriminal

 

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Exobot Actor (apodado “android”) comenzó un nuevo servicio de alquiler de bot Android llamado Exobot v1 en junio de 2016.

El malware en uso fue creado para poder apuntar a muchos bancos con los llamados ataques de superposición (también conocidos como inyecciones).

Después de un año de exitosa campaña de Exobot v1, en mayo de 2017 el actor “android” decidió crear una nueva versión del malware casi desde cero, denominada Exobot v2.

En algún momento, el actor incluso vendió audazmente Exobot a través de un sitio web público (“exoandroidbot.net” estuvo en línea durante más de medio año), lo cual es muy poco común para los troyanos bancarios.

Las nuevas capacidades de bot de Exobot v2 fueron cubiertas. Lo que hizo especial a la versión 2 fueron las características del bot. Esas funciones son mucho mejores y más completas que cualquier otro troyano bancario de Android, como Mazar 3.0, Lokibot v2 o Anubis 2 (alias Bankbot v2), lo que resultó en su éxito.

El actor no solo se centró en la ofuscación del código bot para disminuir su tasa de detección (FUD), sino también en funciones que podrían eludir los mecanismos de detección de fraude, como el uso de un proxy SOCKS5 en el dispositivo víctima para realizar realmente la transacción desde el dispositivo de la víctima (incluso hemos visto solicitudes de compradores clandestinos para un módulo VNC incorporado).

Seguir esta dirección es otorgar a los banqueros Troyanos capacidades de RAT, que pronosticamos a principios de 2017.

Esperamos que los banqueros de Android continúen desarrollando capacidades de RAT estables el próximo año, ya que la fuente del banquero más fuerte de Android ahora está en manos de muchos nuevos actores!

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris