Si usas apps de minar criptomonedas en el m車vil, que no sean estas: tienen malware ruso
F5 Labs descubre un malware para smartphones Android que roba informaci車n financiera y se disfraza de otras apps.
Hoy d赤a ya no necesitas tener un &rig* potente para empezar a minar criptomonedas, sino que es un proceso que puedes hacerlo incluso con tu smartphone -aunque obviamente cuando m芍s potente sea el / los dispositivos, m芍s r芍pido es el proceso.
Minar criptos en el m車vil
De hecho, debido precisamente al aumento del n迆mero de personas interesadas en aprender a minar criptomonedas, los ciberdelincuentes est芍n explotando activamente el inter谷s de la gente no solo desplegando malware de miner赤a de criptodivisas, sino, tal y como los expertos en ciberseguridad de F5 Labs han descubierto, creando aplicaciones falsas para Android que se dirigen a los interesados en las monedas virtuales.
Mientras rastreaban el troyano bancario m車vil FluBot, F5 Labs descubri車 recientemente una nueva cepa de malware para Android que han bautizado como "MaliBot". Una cepa cuyo principal objetivo son los clientes de banca online en Espa?a e Italia, y tiene capacidad para ※robar credenciales, cookies y saltarse los c車digos de autenticaci車n multifactor (MFA)§ que analizan en profundidad en este extenso y tecnol車gico post.
Controlado desde Rusia
Seg迆n F5 Labs, el C2 o infraestructura de comando y control de MaliBot ※est芍 en Rusia y parece utilizar los mismos servidores que se usaron para distribuir el malware Sality§. Muchas campa?as se han originado desde esta IP desde junio de 2020, siendo MaliBot ※una reelaboraci車n muy modificada del malware SOVA, con diferentes funcionalidades, objetivos, servidores C2, dominios y esquemas de empaquetamiento§. El malware es capaz de realizar
- Ataques de inyecci車n web/superposici車n
- Robo de carteras de criptomonedas (Binance, Trust)
- Robo de c車digos MFA/2FA
- Robo de cookies
- Robo de mensajes SMS
- Posibilidad de eludir la autenticaci車n en dos pasos de Google
- Acceso VNC al dispositivo y captura de pantalla
- La capacidad de ejecutar y eliminar aplicaciones a petici車n
- Capacidad de enviar mensajes SMS a petici車n del usuario
- Recopilaci車n de informaci車n del dispositivo, incluyendo su IP, AndroidID, modelo, idioma, lista de aplicaciones instaladas, estados de pantalla y de bloqueo, e informes sobre las capacidades propias del malware
- Registro exhaustivo de cualquier operaci車n exitosa o fallida, actividades telef車nicas (llamadas, SMS) y cualquier error
Pero, ?c車mo se llega a colar MaliBot en los m車viles de sus v赤ctimas? El malware es capaz de disfrazarse como aplicaciones de miner赤a de criptomonedas y otros servicios, como por ejemplo:
- Mining X
- The CryptoApp
- MySocialSecurity
- Chrome
La distribuci車n de MaliBot se realiza ※atrayendo a las v赤ctimas a sitios web fraudulentos en los que se les enga?a para que descarguen el malware§, o enviando directamente mensajes SMS de phishing (suplantaci車n de identidad) a n迆meros de tel谷fono m車vil. Las apps, que el usuario/a cree que son para minar criptomonedas, se descargan fuera de la Google Play Store.
Seg迆n F5 Labs, MaliBot es ※una amenaza para los clientes de los bancos espa?oles e italianos, pero podemos esperar que se a?ada una gama m芍s amplia de objetivos a la aplicaci車n a medida que pase el tiempo. Adem芍s, la versatilidad del malware y el control que da a los atacantes sobre el dispositivo significan que, en principio, podr赤a utilizarse para una gama m芍s amplia de ataques que el robo de credenciales y criptomonedas. De hecho, cualquier aplicaci車n que haga uso de WebView es susceptible de sufrir el robo de credenciales y cookies de los usuarios§.