David Morán 29/06/21 5 min read

Oscorp: troyano bancario en Android para robar criptomonedas y 2FA

Oscorp es un nuevo troyano bancario que ha llegado al mundo de los bankers para Android este año.

Como ya os contamos en nuestro resumen en malware de 2020, en el pasado año pudimos observar un aumento en la detección del malware bancario para dispositivos móviles, no solo en cuanto a campañas, sino también en cuanto a nuevas familias que se fueron detectando.

Siguiendo con la tendencia de aumento de amenazas bancarias en dispositivos móviles, hemos visto como tan pronto como ha comenzado este nuevo año han aparecido dos nuevas familias no conocidas, como son Oscorp y Toddler.

En este caso hemos sobre Oscorp, una nueva familia, pero que no incluye novedades significativas con respecto a las familias que ya conocíamos.

Como hemos observado, el robo de credenciales sigue llevándose a cabo a través de servicio de accesibilidad que abusan de sus permisos para registrar los eventos de accesibilidad (similar al keylogging en sistemas de escritorio) o para detectar la apertura de alguna de las aplicaciones legítimas y mostrar un overlay con la inyección web con el formulario del phishing.

Aunque si bien es cierto que incorpora algo que no es tan común, y es el robo directo de dinero, en este caso de criptomonedas.

Oscorp abusa de los permisos de accesibilidad para detectar eventos que se producen en una aplicación wallet específica, para determinar el saldo disponible de distintas criptomonedas, que finalmente se utiliza para tratar de hacer envíos a la dirección Bitcoin del atacante.

Es una buena manera de aumentar las probabilidades de éxito en caso de que el usuario no utilice algunas de las aplicaciones bancarias afectadas.

También hemos encontrado entre el código de este malware la posibilidad de robar los código de segundo factor de autenticación almacenados en la aplicación Google Authenticator.

Esta es una de las funcionalidades que parecen ir ganando popularidad al mismo tiempo que aumenta la popularidad en el uso de este tipo de aplicaciones que actúan como gestores de los códigos de autenticación.

Es un complemento al robo de mensajes de texto, ya que la mayoría de entidades bancarias requieren algún tipo de autorización para iniciar sesión en la cuenta o para llevar a cabo transacciones, así que el robo de SMS y el robo de los códigos de autorización de Google Authenticator proporciona a los atacantes la mayor parte de las herramientas necesarias para completar el robo final de dinero.

En definitiva, debemos estar muy atentos a las nuevas familias y campañas de malware bancario para dispositivos móviles, porque como ya hemos podido comprobar, la detección de nuevas familias y campañas sigue en aumento.

Debemos estar preparados para proteger a nuestros usuarios de las últimas técnicas de robo de credenciales y, en última instancia, dinero.

Descarga el informe completo desde aquí.

avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.