jueves, 1 de junio de 2017

Android: BankBot.

Hace un tiempo se filtro el fuente de un Bankbot para android y se masifico bastante, creo que muchos lo han lanzado para probar sus virtudes.
Este caso que traigo apareció hace un mes aproximadamente, el sitio de comando y control todavia sigue activo pero sin victimas.
Se decía que esta versión afectaba a bancos de Argentina por lo que decidí echarle una mirada.



https://www.virustotal.com/en/file/1584174767c12ec6896a7cda9ca0656205e2bece916445b2d6e145fb0ae3cb06/analysis/


Probamos instalarlo en un emulador de Android, se puede ver claramente los permisos que solicita.



Aquí solicita permiso de ROOT 


 Sitio de C2 al cual reporta enviando datos codificados.


Analisis del C2 en VT,


Aquí podemos observar los mensajes que son enviados al LOGCAT




Revisamos el malware con dex2jar-2.0, lo decompilamos, con esto pude observar el listado de app bancarias que son monitoreadas por el malware para luego presentar falsos formularios y capturar las claves bancarias, por otro lado también tiene la potestad de interferir los SMS por lo que podría obtener los tokens de seguridad o avisos que envié el banco afectado hacia la victima.



 Log.d("INVISIBLE-LOG", "SEARCH BANK CLIENT'S");
      if (((ApplicationInfo)localObject2).packageName.equals("ru.sberbankmobile"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.sberbank_sbbol"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.alfabank.mobile.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.alfabank.oavdo.amc"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.mw"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.raiffeisennews"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.idamob.tinkoff.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.paypal.android.p2pmobile"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.webmoney.my"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.rosbank.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.vtb24.mobilebanking.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.simpls.mbrd.ui"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.yandex.money"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.com.cs.ifobs.mobile.android.sbrf"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.privatbank.ap24"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.simpls.brs2.mobbank"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.ubanksu"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.alseda.ideabank"))
      if (((ApplicationInfo)localObject2).packageName.equals("pl.pkobp.iko"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.bank.sms"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.com.cs.ifobs.mobile.android.otp"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.vtb.client.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.oschadbank.online"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.trinetix.platinum"))
      if (((ApplicationInfo)localObject2).packageName.equals("hr.asseco.android.jimba.mUCI.ua"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.pentegy.avalbank.production"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.ukrgazbank.UGBCardM"))
      if (!

((ApplicationInfo)localObject2).packageName.equals("com.coformatique.starmobile.android"))

|SberB_RU|
|AlfaB_RU|
|QIWI|
|R-CONNECT|
|Tinkoff|
|paypal|
|webmoney|
|RosBank|
|MTS BANK|
|VTB24|
|Yandex Bank|
|SberB_UA|
|Privat24|
|RussStandart|
|UBank|
|Idea_Bank|
|Iko_Bank|
|Bank_SMS|
|OTP Smart|
|VTB_ua|
|OschadBank|
|PlatinumBank|
|UniCreditBank|
|aval_bank_ua|
|UKRGASBANK|
|UKRSIBBANK| 


Instale en el emulador infectado la app de una entidad de rusia (SberB_RU) y aunque parezca mentira, esta app detecto en el dispositivo el malware.



Por otro lado empezamos a probar el sitio de C2 a ver si podemos obtener algo mas. Y pude observar que existen formularios que no están securizados por lo que es posible accederlos y obtener mas información :D


En el momento de accederlo solo había un IMEI.



Aquí podemos ver que mi sistema infectado y su reporte al Comando y control.




En Bank se puede observar que el malware detecto que tenemos instalado la app del SeberB y Paypal.



Panel de login del C2



Recomendación, revisar los permisos de las app antes de instalarlas, no tomar mucho en cuenta la puntuaciones positivas de las app debido a que muchos de estos puntos positivos pueden ser falsos, u obtenidos mediante el bombardeo de propagandas y mensaje agresivos contra los usuarios. Por ultimo contar con un antivirus en el terminal.



Es todo por el momento @Dkavalanche 2017


1 comentario:

Unknown dijo...

This way my colleague Wesley Virgin's story begins with this shocking and controversial VIDEO.

You see, Wesley was in the military-and shortly after leaving-he unveiled hidden, "MIND CONTROL" tactics that the CIA and others used to get whatever they want.

These are the exact same methods tons of celebrities (especially those who "became famous out of nothing") and top business people used to become wealthy and successful.

You probably know that you use less than 10% of your brain.

That's mostly because most of your BRAINPOWER is UNCONSCIOUS.

Maybe that conversation has even occurred INSIDE OF YOUR very own brain... as it did in my good friend Wesley Virgin's brain 7 years back, while riding an unlicensed, trash bucket of a car with a suspended driver's license and $3.20 in his bank account.

"I'm very frustrated with living paycheck to paycheck! When will I get my big break?"

You took part in those types of conversations, ain't it right?

Your success story is going to start. You just have to take a leap of faith in YOURSELF.

CLICK HERE To Find Out How To Become A MILLIONAIRE

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!