Los actores de amenazas detrás del malware bancario de Windows conocido como Casbaneiro ha sido atribuido como detrás de un nuevo troyano de Android llamado BrasDex que se ha observado apuntando a usuarios brasileños como parte de una campaña multiplataforma en curso.
BrasDex presenta un «complejo sistema de registro de teclas diseñado para abusar de los Servicios de Accesibilidad para extraer credenciales específicamente de un conjunto de aplicaciones dirigidas a Brasil, así como un motor de Sistema de Transferencia Automatizado (ATS) de alta capacidad», ThreatFabric dijo en un informe publicado la semana pasada.
La firma de seguridad holandesa dijo que la infraestructura de comando y control (C2) utilizada junto con BrasDex también se está utilizando para controlar Casbaneiroque se sabe que ataca a bancos y servicios de criptomonedas en Brasil y México.
Se estima que la campaña de malware híbrido de Android y Windows ha provocado miles de infecciones hasta la fecha.
BrasDex, que se hace pasar por una aplicación bancaria para Banco Santander, también es emblemática de una nueva tendencia que implica abusar de las API de accesibilidad de Android para registrar las pulsaciones de teclas ingresadas por las víctimas, alejándose del método tradicional de superposición de ataques para robar credenciales y otros datos personales.
También está diseñado para capturar información sobre el saldo de la cuenta y luego usarla para hacerse cargo de los dispositivos infectados e iniciar transacciones fraudulentas de manera programática.
Otro aspecto notable de BrasDex es su enfoque singular en la plataforma de pagos PIX, que permite a los clientes bancarios en Brasil realizar transferencias de dinero simplemente utilizando sus direcciones de correo electrónico o números de teléfono.
El sistema ATS en BrasDex está diseñado explícitamente para abusar de la tecnología PIX para realizar transferencias fraudulentas.
Esta no es la primera vez que el ecosistema de pagos instantáneos ha sido atacado por malos actores. En septiembre de 2021, Check Point detalló dos familias de malware para Android llamadas PixStealer y MalRhino que engañaron a los usuarios para que transfirieran todos los saldos de sus cuentas a una controlada por un actor.
La investigación de ThreatFabric sobre BrasDex también le permitió obtener acceso al panel C2 utilizado por los operadores criminales para realizar un seguimiento de los dispositivos infectados y recuperar registros de datos extraídos de los teléfonos Android.
El panel C2, como suele suceder, también se está utilizando para controlar una campaña de malware diferente que compromete las máquinas con Windows para implementar Casbaneiro, un troyano financiero basado en Delphi.
Esta cadena de ataque emplea señuelos de phishing con el tema de la entrega de paquetes que pretenden ser de Correios, un servicio postal estatal, para engañar a los destinatarios para que ejecuten el malware siguiendo un proceso de varias etapas.
Las funciones de Casbaneiro abarcan la gama típica de puerta trasera que le permite tomar el control de cuentas bancarias, tomar capturas de pantalla, realizar registros de teclas, secuestrar datos del portapapeles e incluso funcionar como un malware clipper para secuestrar transacciones criptográficas.
«Al ser familias de malware independientes y completas, BrasDex y Casbaneiro forman una pareja muy peligrosa, lo que permite que el actor detrás de ellos se dirija a los usuarios de Android y Windows a gran escala», dijo ThreatFabric.
«El caso BrasDex muestra la necesidad de mecanismos de detección y prevención de fraude en los dispositivos de los clientes: los pagos fraudulentos realizados automáticamente con la ayuda de los motores ATS parecen legítimos para los backends bancarios y los motores de puntuación de fraude, ya que se realizan a través del mismo dispositivo que generalmente utilizado por los clientes».