Malibot: El nuevo malware que amenaza a los teléfonos Android

El equipo de investigadores de F5 Labs descubrió que mientras rastreaba el malware de banca móvil FluBot, también existe una nueva amenaza llamada Malibot que tiene como objetivo los teléfonos Android. Malibot posee varias características y capacidades que lo convierten en una amenaza importante a considerar.

VER: Política de seguridad de dispositivos móviles (Newsmatic Premium)

Índice de Contenido
  1. ¿Cómo se distribuye Malibot?
  2. ¿Qué datos roba Malibot?
    1. Cuentas de Google
    2. Inyecciones múltiples para servicios en línea seleccionados
    3. Autenticación de múltiples factores
    4. Billeteras de criptomonedas
    5. Fraude de SMS
  3. ¿Cómo obtiene Malibot el control sobre el dispositivo infectado?
  4. Malibot: Una amenaza muy activa
  5. Malibot apunta a más objetivos, posiblemente ya afectó a EE. UU.
  6. Cómo protegerse de Malibot

¿Cómo se distribuye Malibot?

En la actualidad, Malibot se distribuye a través de dos canales diferentes por parte de los cibercriminales.

El primer método de distribución es a través de la web: los estafadores han creado dos sitios web diferentes llamados "Mining X" y "TheCryptoApp" (Figura A y Figura B).

Figura A

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Figura B

La campaña TheCryptoApp se hace pasar por una aplicación legítima de seguimiento de criptomonedas. El usuario solo se infectará y se le proporcionará el enlace de malware si navega desde un teléfono Android. Si se navega desde cualquier otro dispositivo, se le proporcionará un enlace legítimo para la aplicación real de TheCryptoApp en Google Play Store. A los usuarios de Android se les proporciona un enlace de descarga directa fuera de Google Play Store.

En cuanto a la campaña de distribución de Mining X, al hacer clic en el enlace de descarga desde el sitio web, se abre una ventana que contiene un código QR para descargar la aplicación.

El segundo canal de distribución es a través de smishing, atacando directamente a los teléfonos Android: Malibot tiene la capacidad de enviar mensajes de texto (SMS) bajo demanda. Una vez que recibe un comando, envía mensajes de texto a una lista de números proporcionada por el servidor de comando y control de Malibot.

Cómo proteger tu computadora de los virus: métodos y consejos

¿Qué datos roba Malibot?

Malibot está diseñado para robar información como datos personales, credenciales y conocimientos financieros. Para lograr este objetivo, puede robar cookies, credenciales de autenticación de múltiples factores y billeteras de criptomonedas.

Cuentas de Google

Malibot tiene un mecanismo para recopilar las credenciales de la cuenta de Google. Cuando la víctima abre una aplicación de Google, el malware abre un WebView en una página de inicio de sesión de Google, obligando al usuario a iniciar sesión y sin permitirle hacer clic en ningún botón de retroceso.

Además de recopilar las credenciales de la cuenta de Google, Malibot también puede eludir la autenticación de doble factor de Google. Cuando el usuario intenta conectarse a su cuenta de Google, se le muestra una pantalla de solicitud de Google que el malware valida de inmediato. El código de doble factor se envía al atacante en lugar del usuario legítimo y luego el malware lo recupera para validar la autenticación.

Inyecciones múltiples para servicios en línea seleccionados

El malware también proporciona al atacante una lista de aplicaciones instaladas en el dispositivo infectado, lo que le ayuda a saber qué aplicación puede ser atacada para mostrar una inyección que se hace pasar perfectamente por una página legítima (Figura C).

Figura C

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Según F5 Labs, las inyecciones de Malibot se dirigen a instituciones financieras en España e Italia.

Autenticación de múltiples factores

Además del método utilizado para robar cuentas de Google, Malibot también puede robar códigos de autenticación de múltiples factores de Google Authenticator bajo demanda. Los códigos de autenticación enviados por SMS al teléfono móvil son interceptados por el malware y exfiltrados.

Billeteras de criptomonedas

Malibot puede robar datos de las billeteras de criptomonedas de Binance y Trust.

El malware intenta obtener el saldo total de las billeteras de las víctimas tanto para Binance como para Trust, y lo exporta a su servidor de comando y control.

En el caso de la billetera Trust, Malibot también puede recopilar las frases de recuperación (seed phrases) de la víctima, lo que permite al atacante transferir todo el dinero a otra billetera de su elección.

Fraude de SMS

Malibot puede enviar mensajes de texto (SMS) bajo demanda. Si bien utiliza principalmente esta capacidad para propagarse a través de smishing, también puede enviar SMS Premium que cobran los créditos móviles de la víctima si están activados.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

¿Cómo obtiene Malibot el control sobre el dispositivo infectado?

Malibot hace un uso intensivo de la API de accesibilidad de Android, que permite a las aplicaciones móviles realizar acciones en nombre del usuario. Utilizando esto, el software malicioso puede robar información y mantener la persistencia. Específicamente, se protege contra la desinstalación y eliminación de permisos al observar un texto o etiqueta específicos en la pantalla y presionar el botón de retroceso para evitar la acción.

Malibot: Una amenaza muy activa

Los desarrolladores de Malibot desean que este malware permanezca indetectado y mantenga su persistencia el mayor tiempo posible en los dispositivos infectados. Para evitar ser detenido o pausado por el sistema operativo debido a la inactividad, el malware se configura como un inicio. Cada vez que se verifica su actividad, se inicia o se activa el servicio.

Hay algunas protecciones adicionales en el malware, pero no se utilizan. Los investigadores de F5 encontraron una función para detectar si el malware se ejecuta en un entorno simulado. Otra función no utilizada configura el malware como una aplicación oculta.

Malibot apunta a más objetivos, posiblemente ya afectó a EE. UU.

Aunque la investigación de F5 Labs reveló objetivos en España e Italia, también encontraron actividad en curso que podría indicar que los cibercriminales están atacando a ciudadanos estadounidenses.

Un dominio utilizado por el mismo actor amenazante se hace pasar por servicios fiscales estadounidenses y lleva a un sitio web llamado "Trust NFT" (Figura D) que ofrece descargar el malware.

Figura D

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Otro sitio web que utiliza el tema de COVID-19 en su nombre de dominio lleva al mismo contenido. Los investigadores esperan que los atacantes desplieguen más malware a través de estos nuevos sitios web en otras partes del mundo, incluyendo los Estados Unidos.

Cómo protegerse de Malibot

El malware se distribuye solo desde sitios web creados por los cibercriminales y mediante SMS. Actualmente, no se propaga a través de plataformas Android legítimas como Google Play Store.

Nunca instale ninguna aplicación en un dispositivo Android que se pueda descargar directamente desde un clic. Los usuarios solo deben instalar aplicaciones de tiendas de aplicaciones y plataformas confiables y legítimas. Los usuarios nunca deben instalar aplicaciones desde un enlace que reciben por SMS.

Instale aplicaciones de seguridad completas en el dispositivo Android para protegerlo de amenazas conocidas.

Cuando instale una aplicación, verifique cuidadosamente los permisos solicitados. El malware de Malibot solicita permisos para enviar SMS cuando se lanza por primera vez, lo que debería generar sospechas.

¡Alerta! Un nuevo gusano de Linux está propagándose

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Malibot: El nuevo malware que amenaza a los teléfonos Android , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.