jueves, 1 de junio de 2017

Android: BankBot.

Hace un tiempo se filtro el fuente de un Bankbot para android y se masifico bastante, creo que muchos lo han lanzado para probar sus virtudes.
Este caso que traigo apareció hace un mes aproximadamente, el sitio de comando y control todavia sigue activo pero sin victimas.
Se decía que esta versión afectaba a bancos de Argentina por lo que decidí echarle una mirada.



https://www.virustotal.com/en/file/1584174767c12ec6896a7cda9ca0656205e2bece916445b2d6e145fb0ae3cb06/analysis/


Probamos instalarlo en un emulador de Android, se puede ver claramente los permisos que solicita.



Aquí solicita permiso de ROOT 


 Sitio de C2 al cual reporta enviando datos codificados.


Analisis del C2 en VT,


Aquí podemos observar los mensajes que son enviados al LOGCAT




Revisamos el malware con dex2jar-2.0, lo decompilamos, con esto pude observar el listado de app bancarias que son monitoreadas por el malware para luego presentar falsos formularios y capturar las claves bancarias, por otro lado también tiene la potestad de interferir los SMS por lo que podría obtener los tokens de seguridad o avisos que envié el banco afectado hacia la victima.



 Log.d("INVISIBLE-LOG", "SEARCH BANK CLIENT'S");
      if (((ApplicationInfo)localObject2).packageName.equals("ru.sberbankmobile"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.sberbank_sbbol"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.alfabank.mobile.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.alfabank.oavdo.amc"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.mw"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.raiffeisennews"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.idamob.tinkoff.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.paypal.android.p2pmobile"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.webmoney.my"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.rosbank.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.vtb24.mobilebanking.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.simpls.mbrd.ui"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.yandex.money"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.com.cs.ifobs.mobile.android.sbrf"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.privatbank.ap24"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.simpls.brs2.mobbank"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.ubanksu"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.alseda.ideabank"))
      if (((ApplicationInfo)localObject2).packageName.equals("pl.pkobp.iko"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.bank.sms"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.com.cs.ifobs.mobile.android.otp"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.vtb.client.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.oschadbank.online"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.trinetix.platinum"))
      if (((ApplicationInfo)localObject2).packageName.equals("hr.asseco.android.jimba.mUCI.ua"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.pentegy.avalbank.production"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.ukrgazbank.UGBCardM"))
      if (!

((ApplicationInfo)localObject2).packageName.equals("com.coformatique.starmobile.android"))

|SberB_RU|
|AlfaB_RU|
|QIWI|
|R-CONNECT|
|Tinkoff|
|paypal|
|webmoney|
|RosBank|
|MTS BANK|
|VTB24|
|Yandex Bank|
|SberB_UA|
|Privat24|
|RussStandart|
|UBank|
|Idea_Bank|
|Iko_Bank|
|Bank_SMS|
|OTP Smart|
|VTB_ua|
|OschadBank|
|PlatinumBank|
|UniCreditBank|
|aval_bank_ua|
|UKRGASBANK|
|UKRSIBBANK| 


Instale en el emulador infectado la app de una entidad de rusia (SberB_RU) y aunque parezca mentira, esta app detecto en el dispositivo el malware.



Por otro lado empezamos a probar el sitio de C2 a ver si podemos obtener algo mas. Y pude observar que existen formularios que no están securizados por lo que es posible accederlos y obtener mas información :D


En el momento de accederlo solo había un IMEI.



Aquí podemos ver que mi sistema infectado y su reporte al Comando y control.




En Bank se puede observar que el malware detecto que tenemos instalado la app del SeberB y Paypal.



Panel de login del C2



Recomendación, revisar los permisos de las app antes de instalarlas, no tomar mucho en cuenta la puntuaciones positivas de las app debido a que muchos de estos puntos positivos pueden ser falsos, u obtenidos mediante el bombardeo de propagandas y mensaje agresivos contra los usuarios. Por ultimo contar con un antivirus en el terminal.



Es todo por el momento @Dkavalanche 2017


 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!