Código fuente de troyano Exobot para Android filtrado

Malware

Aún se desconoce el responsable de filtrar el código fuente del troyano bancario Exobot para Android, debido a esto el malware empezó a circular ampliamente en la web clandestina.

Bleeping Computer dijo que recibió una copia del código fuente de una persona desconocida en junio. En respuesta, verificó la autenticidad del código con ESET y ThreatFabric.

Investigadores de seguridad de
ThreatFabric le dijeron a Bleeping Computer que el código era la versión 2.5 del malware, también conocida como la "Edición Trump". Aclaró que alguien filtró el código fuente de esa variante en mayo.

Exobot
Publicación de Exobot filtrado "Trump Edition" (Fuente: Bleeping Computer)

Exobot es un tipo de malware que apunta a usuarios de Android a través de aplicaciones maliciosas. Algunos de esos programas llegaron a Google Play Store en algún momento.

Tras una instalación exitosa, las aplicaciones cargan Exobot; usa ataques superpuestos cada vez que el propietario del dispositivo infectado visita un sitio web bancario. Esta técnica permite a Exobot robar las credenciales bancarias de los usuarios, que luego pueden usar para extraer dinero de sus cuentas.

Según lo informado por ThreatFabric, el autor del malware anunció la venta de su creación en diciembre de 2017. Se cree que alguien que compró el código fuente de Trump Edition lo filtró en línea para compartirlo con la comunidad de malware. De hecho, Bleeping Computer confirmó la aparición del código fuente filtrado del malware en varios foros subterráneos después de la filtración.

Este desarrollo ha preocupado a los investigadores de seguridad, puesto que supone un repunte en los ataques basados ​​en Exobot. Después de todo, sucedió con BankBot, una versión cuyo objetivo exclusivo fue Google Play, luego de que su código fuente llegara a la web.

Desafortunadamente, Exobot es tan efectivo como un troyano como BankBot. Cengiz Han Sahin, investigador de seguridad y portavoz de ThreatFabric, le dijo a Bleeping Computer:

"El troyano obtiene el nombre del paquete de la aplicación de primer plano sin requerir ningún permiso adicional. Esto es un poco problemático, aún así, funciona en la mayoría de los casos. La parte interesante aquí es que no se requieren permisos de Android. Todas las demás familias de troyanos bancarios de Android están usando los permisos de Estadísticas de uso y accesibilidad para lograr el mismo objetivo y, por lo tanto, requieren la interacción del usuario con la víctima".

Reconociendo esas capacidades, es importante que los usuarios de Android se protejan a sí mismos mediante la descarga de aplicaciones de solo desarrolladores de confianza en Google Play Store.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA,