David Morán 15/03/21 2 min read

Toddler: Robo de credenciales con overlays y registro de eventos

El pasado mes de enero de 2021 se descubrió una nueva familia de malware bancario no detectada anteriormente. Las muestras fueron encontradas en las plataformas de análisis de malware VirusTotal y Koodous.

Varios motores antimalware podían detectar desde primer momento estas aplicaciones como malware, debido principalmente a que utiliza las mismas estrategias que suelen utilizar otras familias de malware bancario para llevar a cabo el robo de credenciales bancarias, como Cerberus y Anubis Bankbot. De esta forma, gracias a las firmas pensadas para detectar estas familias ha sido posible que estos motores de análisis detecten la funcionalidad maliciosa y marquen como maliciosas las aplicaciones.

Como veremos más adelante, este nuevo banker no presenta gran diferencia con respecto al resto de troyanos bancarios que podemos encontrar en el mundo de los dispositivos Android. Y sigue las estrategias habituales de robo de credenciales, que están basadas en el uso de inyecciones web que presentan al usuario una WebView con una página web de phishing similar a la interfaz de inicio de sesión de la entidad afectada.

A continuación, se comentarán cuales son las posibles opciones de propagación que podrían haber utilizado los atacantes. También profundizaremos en el funcionamiento de este malware, incluyendo las técnicas de robo de credenciales además del robo de otra información presente en el dispositivo. Echa un vistazo al informe completo, descargándolo desde aquí:

avatar

David Morán

David has more than 15 years’ experience in cybersecurity, systems and development, starting out in an extinct hacking team known as Badchecksum. He collaborated on Defcon 19 with the Painsec security team. He is versed in scalable environments thanks to his work at the Tuenti social network with a traffic load of over 12Gbps. He has been involved with buguroo almost since the outset and has taken part in all the tools developed by the company, including source code analysers, malware analysis, cyber intelligence, etc. He also has in-depth knowledge of the Linux kernel, having developed LKMs that acted as rootkits as well as malware for Windows environments. He is currently the head of Revelock’s development team, managing task distribution and negotiating with the Head of Technology.