Una campaña de malware para Android dirigida a bancos iraníes ha ampliado sus capacidades e incorporado tácticas de evasión adicionales para pasar desapercibidas.
Esto es según un nuevo informe de Zimperium, que descubrió más de 200 aplicaciones maliciosas asociado con la operación maliciosa, y también se observó que el actor de amenazas llevaba a cabo ataques de phishing contra las instituciones financieras objetivo.
La campaña salió a la luz por primera vez a finales de julio de 2023, cuando Sophos detalló un grupo de 40 aplicaciones de recolección de credenciales dirigidas a clientes de Bank Mellat, Bank Saderat, Resalat Bank y el Banco Central de Irán.
El objetivo principal de las aplicaciones falsas es engañar a las víctimas para que les otorguen amplios permisos, así como recopilar credenciales de inicio de sesión bancarias y detalles de tarjetas de crédito abusando de los servicios de accesibilidad de Android.
«Las correspondientes versiones legítimas de las aplicaciones maliciosas están disponibles en Cafe Bazaar, un mercado iraní de Android, y tienen millones de descargas», dijo en ese momento el investigador de Sophos, Pankaj Kohli.
«Por otro lado, las imitaciones maliciosas estaban disponibles para descargar desde una gran cantidad de dominios relativamente nuevos, algunos de los cuales los actores de amenazas también utilizaban como servidores C2».
Curiosamente, también se ha observado que algunos de estos dominios ofrecen páginas HTML de phishing diseñadas para robar credenciales de usuarios móviles.
Los últimos hallazgos de Zimperio ilustran la evolución continua de la amenaza, no sólo en términos de un conjunto más amplio de bancos específicos y aplicaciones de billeteras de criptomonedas, sino también de la incorporación de características no documentadas previamente que la hacen más potente.
Esto incluye el uso del servicio de accesibilidad para otorgarle permisos adicionales para interceptar mensajes SMS, evitar la desinstalación y hacer clic en elementos de la interfaz de usuario.
También se ha descubierto que algunas variantes del malware acceden a un archivo README dentro de los repositorios de GitHub para extraer una versión codificada en Base64 del servidor de comando y control (C2) y las URL de phishing.
«Esto permite a los atacantes responder rápidamente a los sitios de phishing que están siendo eliminados actualizando el repositorio de GitHub, asegurando que las aplicaciones maliciosas siempre obtengan el último sitio de phishing activo», dijeron los investigadores de Zimperium, Aazim Yaswant y Vishnu Pratapagiri.
Otra táctica digna de mención es el uso de servidores C2 intermedios para alojar archivos de texto que contienen cadenas codificadas que apuntan a sitios de phishing.
Si bien hasta ahora la campaña ha centrado sus ojos en Android, hay evidencia de que el sistema operativo iOS de Apple también es un objetivo potencial debido al hecho de que los sitios de phishing verifican si la página se abre mediante un dispositivo iOS y, de ser así, dirigen el víctima de un sitio web que imita la versión iOS de la aplicación Bank Saderat Iran.
Actualmente no está claro si la campaña de iOS se encuentra en etapas de desarrollo o si las aplicaciones se distribuyen a través de una fuente aún no identificada.
Las campañas de phishing no son menos sofisticadas y se hacen pasar por sitios web reales para filtrar credenciales, números de cuenta, modelos de dispositivos y direcciones IP a dos canales de Telegram controlados por actores.
«Es evidente que el malware moderno se está volviendo más sofisticado y los objetivos se están expandiendo, por lo que la visibilidad y la protección del tiempo de ejecución son cruciales para las aplicaciones móviles», dijeron los investigadores.
El desarrollo se produce poco más de un mes después de que Fingerprint demostrara un método mediante el cual aplicaciones maliciosas de Android pueden acceder y copiar sigilosamente los datos del portapapeles aprovechando el SISTEMA_ALERT_WINDOW permiso para ocultar la notificación del sistema que se muestra cuando una aplicación en particular lee datos del portapapeles.
«Es posible sobregirar un brindis ya sea con un brindis diferente o con cualquier otra vista, ocultar completamente el brindis original puede evitar que el usuario sea notificado de las acciones del portapapeles», Fingerprint dicho. «Cualquier aplicación con el permiso SYSTEM_ALERT_WINDOW puede leer los datos del portapapeles sin notificar al usuario».