Inicio / Actualidad / El troyano de Android Anubis con un módulo de ransomware casi funcional

El troyano de Android Anubis con un módulo de ransomware casi funcional

Una aplicación de Android que roba las credenciales de PayPal, encripta los archivos del almacenamiento externo del dispositivo y bloquea la pantalla usando una pantalla negra, fue detectada en la Google Play Store por el investigador de malware de ESET  Lukas Stefanko .

Detrás del comportamiento malicioso de la aplicación se encuentra una carga útil de malware de troyanos bancarios de Anubis Android, un conocido troyano diseñado para robar credenciales bancarias, proporcionar a sus maestros una puerta trasera de RAT y enviar mensajes SMS no deseados entre otras cosas.

Una vez que el troyano bancario Anubis es descargado por un descargador de malware en el dispositivo comprometido de la víctima, comienza a recopilar información bancaria con la ayuda de un módulo de keylogger incorporado o tomando capturas de pantalla cuando el usuario inserta credenciales en las aplicaciones, a  diferencia de otros troyanos bancarios  conocidos Superposición de pantallas para la misma tarea.

Las muestras de Anubis con funciones de ransomware no son nuevas, ya que Sophos descubrió previamente las aplicaciones infectadas por Anubis en Play Store durante agosto de 2018 con la capacidad de cifrar archivos con una extensión de archivo Anubiscrypt, la misma extensión que el malware que Stefanko utilizó para cifrar sus documentos.

AnubisCrypt archivos cifrados
AnubisCrypt archivos cifrados

“El componente de ransomware incorporado encripta los archivos de usuario y les otorga la extensión de archivo .Anubiscrypt. Recuerde, esto se ejecuta en un teléfono, que es incluso menos probable que tenga una copia de seguridad que una computadora portátil o de escritorio, y es más probable que tenga fotos personales u otras Datos valiosos “, dijo sofos.

Lo que hace que el hallazgo de Stefanko sea especial es el hecho de que viene con una función de bloqueo de dispositivo que intenta bloquearlo, aunque el investigador le dijo a BleepingComputer que pudo evitarlo: “Puedo evitarlo y no solicitar un rescate, tal vez una mala implementación “.

Esto muestra que, si bien los maestros de Anubis aún están agregando activamente nuevas características a su malware, el desarrollo y la adición de algunos de ellos podrían llevarles algo de tiempo, dado que desde que Sophos informó por primera vez el módulo de ransomware hasta el avistamiento de hoy, apenas lograron incluir la mitad. -capacidad de bloqueo de pantalla horneada que se puede omitir.

 De acuerdo con algunos informes, la aplicación infectada encontrada por Stefanko es una copia de otra aplicación de Android , mientras que el investigador de seguridad móvil Nikolaos Chrysaidos ha detallado que el troyano bancario Anubis también está siendo impulsado usando otras aplicaciones disponibles en Play Store.

A pesar de que la aplicación infectada encontrada por Stefanko en el mercado de aplicaciones Play Store para Android de Google no tiene muchas instalaciones, actualmente la tienda informa “0+” pero viene con 90 clasificaciones, con un promedio de 4 estrellas, y las deja para su propio dispositivo. probablemente acumulará suficientes descargas e instalaciones para poder robar y cifrar los datos de miles de usuarios de Android.

Esto se vuelve bastante evidente después de echar un vistazo a algunos de los informes anteriores del investigador sobre los avistamientos contaminados por Anubis en la Play Store, que van desde más de 100 a más de 5000 instalaciones.

Como informó ayer el investigador de malware móvil  Ahmet Bilal Can , Anubis está bastante presente en la tienda de aplicaciones oficial de Android, con innumerables muestras detectadas entre julio de 2018 y marzo de 2019, como se muestra en las capturas de pantalla a continuación.

Anubis Play Store ejemplos

Como lo descubrieron recientemente  los investigadores de Trend Micro  en enero, Anubis Trojan se utilizó en una campaña de malware a gran escala dirigida a 377 aplicaciones bancarias de 93 países de todo el mundo, con bancos como Santander, RBS, Natwest y Citibank, además de entidades no bancarias. Aplicaciones como Amazon, eBay y PayPal están en su lista de objetivos.

Anteriormente, los investigadores de IBM X-Force  vincularon los descargadores maliciosos  utilizados por los actores malos para distribuir el troyano Anubis que también se usaba como goteros para el malware Exobot desenterrado por  Threatfabric  mientras analizaban una campaña de Exobot el año pasado.

Todas estas aplicaciones infectadas con los descargadores de Anubis que se distribuyen a través de la tienda Google Play muestran que los actores detrás de ellos tienen la habilidad suficiente para ocultar con éxito los goteros que vienen con las defensas de malware de Google Play.


Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

Microsoft negó a la policía la tecnología de reconocimiento facial por cuestiones de derechos humanos

Microsoft ha dicho que rechazó una solicitud de la policía de California para usar su …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.