Inicio de zonavirus, antivirus

Mazain, un nuevo troyano bancario y su botnet asociada (I)

msc hotline sat
Friday, March 24, 2017

El malware para Android crece más cada día, además se vuelve más

peligroso y con un objetivo concreto: nuestro dinero. Hemos encontrado

un nuevo troyano bancario para Android del que además hemos podido

acceder al panel de la botnet que lo controla.



Nos hemos encontrado en Koodous con una nueva muestra que parecía tener

un comportamiento sospechoso, así que el Departamento Antifraude de

Hispasec ha procedido a realizar un análisis más detallado.



https://3.bp.blogspot.com/-b0nOo_pq3v8/WNK2YGlft4I/AAAAAAAAIhE/bz9JOPvGSmYKyeoIgF8MkDfJOQY9zCpWACLcB/s1600/mazain_tr_1.png" border="0" hspace="10" vspace="10"/>





Tras el análisis dinámico y estático hemos comprobado que se trata de

un troyano de evidente origen ruso que monitoriza otras aplicaciones

bancarias, de pago online y similares instaladas en el dispositivo,

con el objeto de capturar las credenciales introducidas. Hemos llamado

"Mazain" a este troyano por la referencia a su autor ("by Maza-in") en

el panel de la botnet.



Rápidamente, en un primer vistazo en Koodous ya resultan sospechosas

tanto las "Actividades" como los "Servicios" que la aplicación tiene

declarados en su manifiesto:



https://3.bp.blogspot.com/--JLW08dtg2E/WNK2c7Wch8I/AAAAAAAAIhI/Zue-EJntP5wJhwKEs4fBK-lBUMRGNR5pwCLcB/s1600/mazain_tr_2.png" border="0" hspace="10" vspace="10"/>





https://2.bp.blogspot.com/-0P5kBGCgscg/WNK2ga79cgI/AAAAAAAAIhM/MW8kml3BHogm6WOMkujbgFPah2sMipWkgCLcB/s1600/mazain_tr_3.png" border="0" hspace="10" vspace="10"/>





Con estos indicios y con ya muchas sospechas de encontrarnos ante

un nuevo malware, el siguiente paso es ejecutar la muestra en un

dispositivo móvil. Y lo primero que encontramos es que pide permisos

de administración. Otra evidencia.



https://2.bp.blogspot.com/-3NYYN33mGg0/WNOJWfpR-hI/AAAAAAAAIiM/CKI-ohAVDYspww_ChvTDZBC9PNcxB9uewCLcB/s1600/mazain_tr_4.png" border="0" hspace="10" vspace="10"/>





Y por si fuera poco, el icono desaparece de las aplicaciones disponibles

y al mismo tiempo realiza un par de peticiones al C&C (Command and

Control, la infraestructura mando y control):



https://2.bp.blogspot.com/-RRPG5W6cn28/WNOJeA-3q9I/AAAAAAAAIiQ/5xhARWJkUswpnKz4skY_X03VtHZS25UigCLcB/s1600/mazain_tr_5.png" border="0" hspace="10" vspace="10"/>





Con todas las evidencias reunidas, solo queda pasar a realizar un

análisis estático que nos ofrezca más información sobre este malware.

Tras un primer examen del código vemos que contiene diferentes

funcionalidades.



En primer lugar descubrimos información de la configuración del troyano,

como es su punto de control, la clave con la que va a comunicarse con

el servidor y el nombre de la campaña. No se puede decir que el

desarrollador haya sido muy cuidadoso, ya que posteriormente hemos

encontrado estos mismos datos incluidos directamente en otras partes

del código ("hardcodeados").



https://3.bp.blogspot.com/-_9LuIHdH4Lo/WNK24_x1YdI/AAAAAAAAIhQ/pgmXQjwjdFIpMGj3S6GgTfx2M5axyq3aACLcB/s1600/mazain_tr_6.png" border="0" hspace="10" vspace="10"/>





También comprobamos los diferentes nombres de paquete de las

aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas

como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank,

Rosbank, Sberbank). El origen ruso del troyano se hace evidente.



https://1.bp.blogspot.com/-GDyibmEC2Ok/WNK3MY04MTI/AAAAAAAAIhU/syi1YQMUjWkbX1bL7TvDzep8LLlg0dw8ACLcB/s640/mazain_tr_7.png" border="0" hspace="10" vspace="10"/>





Las intenciones son claras, inyectar su código malicioso cuando el

usuario abra alguna de ellas:



https://1.bp.blogspot.com/-upB4mH5UGF8/WNK3ReYFDuI/AAAAAAAAIhY/7XPpDJfzP1oisyq4vdeZQk3Nevd7W28YQCLcB/s640/mazain_tr_8.png" border="0" hspace="10" vspace="10"/>





Es el momento de volver al teléfono y probar el funcionamiento sobre una

de ellas. En este caso Visa QiWi, un proveedor ruso de servicios de pago

online:



https://2.bp.blogspot.com/-qhai7uQeQ4g/WNK3VP1o3kI/AAAAAAAAIhc/wmUCCGJG2Hgd1bGkGiW1ff-ljSajyVs2wCLcB/s400/mazain_tr_9.png" border="0" hspace="10" vspace="10"/>





Tras introducir las credenciales en la pantalla que nos muestra, vemos

el tráfico realizado, tanto solicitando la web que ha superpuesto como

la información que hemos introducido:



https://1.bp.blogspot.com/-WEvchodQY2g/WNK3dJ76hxI/AAAAAAAAIhg/JYD814yagX8snaRJW8X-TtI3h-oLEcHuQCLcB/s640/mazain_tr_10.png" border="0" hspace="10" vspace="10"/>





https://4.bp.blogspot.com/-GJF26X6_5qs/WNK3g-7KvlI/AAAAAAAAIhk/3_hOW9uvNu0V4JAAvQm_VLIfFwQMzEQYgCLcB/s1600/mazain_tr_11.png" border="0" hspace="10" vspace="10"/>





Además de la función de captura de credenciales de banca online, también

hemos encontrado funciones para recolectar los SMS enviados y recibidos.

Sin duda con el propósito de acceder a los sistemas en los que haya un

doble factor de autenticación:



https://3.bp.blogspot.com/-amBiQ80f0Wo/WNK3mBD3HWI/AAAAAAAAIho/UtTyYRGBEzUAMiksJK7CnD7cdzt1t0LjACLcB/s640/mazain_tr_12.png" border="0" hspace="10" vspace="10"/>





En una próxima entrega analizaremos la botnet, el panel y más datos

interesantes sobre este nuevo malware.



De nuevo, las medidas recomendadas son las habituales: sentido

común como nuestra mejor defensa, comprobar los permisos que pide

la aplicación cuando se instala y una red de seguridad por si falla

nuestra intuición. Nuestra propuesta pasa por la instalación de

Koodous, un antivirus ideado por y para la comunidad.



Ver información original al respecto en Fuente:

http://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su.html

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto