David Morán 09/08/21 11 min read

Toddler amplía el abanico de entidades europeas afectadas

En esta ocasión vamos a hablar de Toddler, también conocido como NotFlubot, Anatsa o Teabot, un troyano bancario para Android del que informamos ampliamente en este informe, y que fue descubierto por primera vez en Enero de este año.

Introducción

Como vimos entonces, estas primeras muestras del troyano, que tenían como foco entidades españolas y alemanas, fueron subidas a las plataformas VirusTotal y Koodous, siendo detectadas como maliciosas por diversas firmas de antivirus desde el principio, así como por analistas de malware.

Este hecho se debe a que el troyano comparte las estrategias de otras familias tales como Cerberus o Anubis Bankbot a la hora de realizar el robo de credenciales de los usuarios cuyos terminales se ven afectados, no presentando grandes diferencias respecto a otros troyanos bancarios dirigidos a usuarios con dispositivos Android.

Como veremos en este artículo, en el último mes se han detectado nuevas muestras que afectan a entidades bancarias localizadas en países europeos no contemplados anteriormente, y además se ha detectado que los actores tras estas aplicaciones maliciosas han empezado a usar técnicas de propagación similares a las del troyano bancario FluBot.

 

Propagación

Dado que en sus inicios las muestras de Toddler halladas fueron subidas a VirusTotal, y analizadas tras ello por investigadores, no podíamos tener la certeza sobre los métodos de distribución y propagación que había seguido este malware, pues no se contaba con información adicional.

Sin embargo, conjeturamos que, dado que conocemos las estrategias habituales de propagación de este tipo de amenazas, y que el troyano guardaba similitudes con otros troyanos bancarios para Android, era muy posible que se hubieran seguido técnicas ya conocidas, como la distribución a través de alguna página web fraudulenta.

Estas suposiciones han sido validadas en los hallazgos encontrados recientemente, y es que se ha detectado que el troyano bancario Toddler está copiando la estrategia de propagación de Flubot para llevar a cabo el robo de credenciales bancarias de los usuarios.

Se trata de una técnica ya conocida que comienza con un SMS donde se informa a la posible víctima sobre un supuesto paquete de mensajería que le va a ser entregado. Este mensaje, que se envía desde teléfonos ya infectados, contiene un enlace a una página en la que se suplanta a una empresa de logística y en la que se solicita al usuario la instalación de una aplicación con el objetivo de obtener información del paquete en cuestión.


Web fraudulenta para descarga de la app

Web fraudulenta para descarga de la app

Tras esto, y dadas las protecciones con las que cuentan los dispositivos Android, se solicita al usuario que habilite la instalación de apps de fuentes externas, para así poder lograr su objetivo e instalar la app maliciosa en el sistema.

Entidades afectadas

Como hemos comentado, en las muestras detectadas recientemente se han hallado algunos cambios en la lista de entidades bancarias afectadas respecto a las que reportamos en el informe completo donde analizamos en profundidad este nuevo troyano.

SHA256 sample: 9f8745ed8d371a478df567060488585c9655df22b1d69745a55f08e1531219a3

SHA256 sample: 9f8745ed8d371a478df567060488585c9655df22b1d69745a55f08e1531219a3

Como en otras ocasiones, podemos acceder a la lista de aplicaciones afectadas por el módulo keylogger a través de una de las URLs del servidor de control que encontramos en la muestra analizada en la imagen anterior: hxxp://185[.]215[.]113[.]31:82/api/getkeyloggers

Listado de entidades afectadas

Listado de entidades afectadas

Al comparar los resultados expuestos con los detallados en el informe inicial, encontramos que la lista de entidades a las que podría afectar este troyano bancario ha variado, destacando principalmente su aumento. El número de entidades a las que apunta se ha visto triplicado.

Por otra parte, como ya comentamos al inicio de este artículo, además de recogerse algunas entidades bancarias de países como España y Alemania, encontramos otras correspondientes a países como Italia, Bélgica y Países Bajos, que no se veían afectadas en las primeras muestras de Toddler detectadas. El listado completo encontrado puede verse desglosado en el anexo correspondiente.

 

Conclusiones

En el último mes, ciberdelincuentes han comenzado a lanzar campañas que apuntan a usuarios europeos con Toddler, un troyano bancario para Android también conocido como Teabot, Anatsa o NotFlubot, que guarda similitudes con otras familias de malware cuyo fin es el robo de credenciales bancarias de usuarios de estos dispositivos.

En concreto, según las muestras investigadas recientemente, los actores tras este nuevo troyano han empezado a apuntar a entidades bancarias ubicadas en Italia y Bélgica, manteniendo también en el listado de entidades afectadas las de otros países de España y Alemania. Además, se han detectado formas de distribución idénticas a las llevadas a cabo por el troyano Flubot, cuyo anzuelo, como en otros casos, ha sido la llegada de un SMS que informa sobre la entrega de un supuesto paquete de mensajería. Seguiremos pendientes de las nuevas actualizaciones que puedan producirse en ambos.



ANEXO IOCs
Hash de las muestras:

  • 9f8745ed8d371a478df567060488585c9655df22b1d69745a55f08e1531219a3
  • 435df4a0db36c737c2ab601fbd3b4b90f4b78999b582d75a6d9e403e130b18ef
  • aaf4ba3d9dc2605e440d6f1be02fcef77675f9ef46712a1a28bdbcf9afbac3ce

 

ANEXO ENTIDADES AFECTADAS

  • es.lacaixa.mobile.android.newwapicon
  • es.cm.androides.bancosantander.apps
  • com.bbva.bbvacontigo
  • net.inverline.bancosabadell.officelocator.android
  • com.kutxabank.android
  • es.ibercaja.ibercajaapp
  • es.liberbank.cajasturapp
  • es.openbank.mobile
  • app.wizink.es
  • com.grupocajamar.wefferent
  • piuk.blockchain.android
  • com.binance.dev
  • com.coinbase.android
  • vivid.money
  • de.commerzbanking.mobil
  • de.comdirect.android
  • com.mobileloft.alpha.droid
  • com.starfinanz.smob.android.sfinanzstatus
  • de.fiducia.smartphone.android.banking.vr
  • de.ingdiba.bankingapp
  • de.postbank.finanzassistent
  • de.santander.presentation
  • de.sdvrz.ihb.mobile.secureapp.sparda.produktionde.traktorpool
  • eu.unicreditgroup.hvbapptan
  • com.db.pbc.miabanca
  • com.db.pwcc.dbmobile
  • com.ing.mobile
  • nl.regiobank.regiobankieren
  • bvm.bvmapp
  • com.triodos.bankingnl
  • com.abnamro.nl.mobile.payments
  • nl.rabomobiel
  • nl.asnbank.asnbankieren
  • de.dkb.portalapp
  • be.belfius.directmobile.android
  • be.argenta.bankieren
  • com.db.pbc.mybankbelgium
  • com.beobank_prod.bad
  • be.axa.mobilebanking
  • be.bmid.itsme
  • com.ing.banking
  • com.bnpp.easybanking.fintro
  • com.bnpp.easybanking
  • com.kbc.mobile.android.phone.kbcbrussels
  • com.kbc.mobile.android.phone.kbc
  • be.keytradebank.phone
  • com.bpb.mobilebanking.smartphone.prd
  • exodusmovement.exodus
  • com.unicredit
  • com.latuabancaperandroid
  • it.bnl.apps.banking
  • it.copergmps.rt.pf.android.sp.bmps
  • posteitaliane.posteapp.appbpol
  • it.carige
  • posteitaliane.posteapp.apppostepay
  • co.mona.android
  • posteitaliane.posteapp.appposteid
  • com.fineco.it
  • de.number26.android
  • it.phoenixspa.inbank
  • it.icbpi.mobile
  • it.widiba.bol
  • it.iwbank.banking
  • it.gruppobper.ams.android.bper
  • com.cajaingenieros.android.bancamovil
  • com.indra.itecban.triodosbank.mobile.banki
  • com.mediolanum
  • es.evobanco.bancamovil
  • com.indra.itecban.mobile.novoba
  • es.cecabank.ealia2103appstore
  • com.imaginbank.app
  • es.caixabank.caixabanksign
  • es.caixagalicia.activamovil
avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.