Se ha detectado una nueva variedad de malware de Android que se dirige a clientes de banca en l\u00ednea y billeteras de criptomonedas en Espa\u00f1a e Italia, solo unas semanas despu\u00e9s de que una operaci\u00f3n coordinada de aplicaci\u00f3n de la ley desmantel\u00f3 FluBot.<\/p>\n
El troyano que roba informaci\u00f3n, con nombre en c\u00f3digo malibot<\/strong> por F5 Labs, tiene tantas funciones como sus contrapartes, lo que le permite robar credenciales y cookies, omitir los c\u00f3digos de autenticaci\u00f3n multifactor (MFA) y abusar del Servicio de accesibilidad de Android para monitorear la pantalla del dispositivo de la v\u00edctima.<\/p>\n Se sabe que MaliBot se disfraza principalmente de aplicaciones de miner\u00eda de criptomonedas como Mining X o The CryptoApp que se distribuyen a trav\u00e9s de sitios web fraudulentos dise\u00f1ados para atraer a visitantes potenciales para que las descarguen.<\/p>\n Tambi\u00e9n saca otra hoja del libro de jugadas del troyano bancario m\u00f3vil, ya que emplea smishing como vector de distribuci\u00f3n para propagar el malware accediendo a los contactos de un tel\u00e9fono inteligente infectado y enviando mensajes SMS que contienen enlaces al malware.<\/p>\n “El comando y control (C2) de MaliBot est\u00e1 en Rusia y parece usar los mismos servidores que se usaron para distribuir el Malware de salidad<\/a>“Dor Nizar, investigador de F5 Labs dijo<\/a>. “Es una reelaboraci\u00f3n muy modificada del malware SOVA, con diferentes funcionalidades, objetivos, servidores C2, dominios y esquemas de empaquetado”.<\/p>\n SOVA (que significa “B\u00faho” en ruso), que se detect\u00f3 por primera vez en agosto de 2021, se destaca por su capacidad para realizar ataques superpuestos, que funcionan al mostrar una p\u00e1gina fraudulenta usando WebView con un enlace proporcionado por el servidor C2 en caso de que una v\u00edctima abra una aplicaci\u00f3n bancaria incluida en su lista de objetivos activos.<\/p>\n Algunos de los bancos objetivo de MaliBot que utilizan este enfoque incluyen UniCredit, Santander, CaixaBank y CartaBCC.<\/p>\n El Servicio de accesibilidad es un servicio en segundo plano que se ejecuta en dispositivos Android para ayudar a los usuarios con discapacidades. Durante mucho tiempo ha sido aprovechado por spyware y troyanos para capturar el contenido del dispositivo e interceptar las credenciales ingresadas por usuarios desprevenidos en otras aplicaciones.<\/p>\n Adem\u00e1s de poder desviar contrase\u00f1as y cookies de la cuenta de Google de la v\u00edctima, el malware est\u00e1 dise\u00f1ado para deslizar c\u00f3digos 2FA de la aplicaci\u00f3n Google Authenticator, as\u00ed como filtrar informaci\u00f3n confidencial, como saldos totales y frases iniciales de las aplicaciones Binance y Trust Wallet.<\/p>\n Adem\u00e1s, Malibot es capaz de armar su acceso a la API de Accesibilidad para vencer los m\u00e9todos de autenticaci\u00f3n de dos factores (2FA) de Google, como Indicaciones de Google<\/a>incluso en escenarios en los que se intenta iniciar sesi\u00f3n en las cuentas utilizando las credenciales robadas de un dispositivo previamente desconocido.<\/p>\n “La versatilidad del malware y el control que brinda a los atacantes sobre el dispositivo significa que, en principio, podr\u00eda usarse para una gama m\u00e1s amplia de ataques que el robo de credenciales y criptomonedas”, dijeron los investigadores.<\/p>\n “De hecho, cualquier aplicaci\u00f3n que haga uso de WebView es susceptible de que se roben las credenciales y las cookies de los usuarios”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Fronton-botnet-ruso-de-IoT-disenado-para-ejecutar-campanas-de.png\")
<\/a><\/div>\n![\"Troyano](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655358764_182_MaliBot-un-nuevo-troyano-bancario-para-Android-descubierto-en-la.jpg\" "\\"Troyano")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n![\"Troyano](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655358765_238_MaliBot-un-nuevo-troyano-bancario-para-Android-descubierto-en-la.jpg\" "\\"Troyano")
<\/div>\n