Mazain, un nuevo troyano bancario y su botnet asociada (I)

El malware para Android crece más cada día, además se vuelve más
peligroso y con un objetivo concreto: nuestro dinero. Hemos encontrado
un nuevo troyano bancario para Android del que además hemos podido
acceder al panel de la botnet que lo controla.

Nos hemos encontrado en Koodous con una nueva muestra que parecía tener
un comportamiento sospechoso, así que el Departamento Antifraude de
Hispasec ha procedido a realizar un análisis más detallado.

Tras el análisis dinámico y estático hemos comprobado que se trata de
un troyano de evidente origen ruso que monitoriza otras aplicaciones
bancarias, de pago online y similares instaladas en el dispositivo,
con el objeto de capturar las credenciales introducidas. Hemos llamado
“Mazain” a este troyano por la referencia a su autor (“by Maza-in”) en
el panel de la botnet.

Rápidamente, en un primer vistazo en Koodous ya resultan sospechosas
tanto las “Actividades” como los “Servicios” que la aplicación tiene
declarados en su manifiesto:

Con estos indicios y con ya muchas sospechas de encontrarnos ante
un nuevo malware, el siguiente paso es ejecutar la muestra en un
dispositivo móvil. Y lo primero que encontramos es que pide permisos
de administración. Otra evidencia.

Y por si fuera poco, el icono desaparece de las aplicaciones disponibles
y al mismo tiempo realiza un par de peticiones al C&C (Command and
Control, la infraestructura mando y control):

Con todas las evidencias reunidas, solo queda pasar a realizar un
análisis estático que nos ofrezca más información sobre este malware.
Tras un primer examen del código vemos que contiene diferentes
funcionalidades.

En primer lugar descubrimos información de la configuración del troyano,
como es su punto de control, la clave con la que va a comunicarse con
el servidor y el nombre de la campaña. No se puede decir que el
desarrollador haya sido muy cuidadoso, ya que posteriormente hemos
encontrado estos mismos datos incluidos directamente en otras partes
del código (“hardcodeados”).

También comprobamos los diferentes nombres de paquete de las
aplicaciones que monitoriza. Encontrando aplicaciones tan conocidas
como PayPal o webmoney y de bancos principalmente rusos (Alfa-Bank,
Rosbank, Sberbank). El origen ruso del troyano se hace evidente.

[img]https://1.bp.blogspot.com/-GDyibmEC2Ok/WNK3MY04MTI/AAAAAAAAIhU/syi1YQMUjWkbX1bL7TvDzep8LLlg0dw8ACLcB/s640/mazain_tr_7.png[/img]

Las intenciones son claras, inyectar su código malicioso cuando el
usuario abra alguna de ellas:

Es el momento de volver al teléfono y probar el funcionamiento sobre una
de ellas. En este caso Visa QiWi, un proveedor ruso de servicios de pago
online:

Tras introducir las credenciales en la pantalla que nos muestra, vemos
el tráfico realizado, tanto solicitando la web que ha superpuesto como
la información que hemos introducido:

Además de la función de captura de credenciales de banca online, también
hemos encontrado funciones para recolectar los SMS enviados y recibidos.
Sin duda con el propósito de acceder a los sistemas en los que haya un
doble factor de autenticación:

En una próxima entrega analizaremos la botnet, el panel y más datos
interesantes sobre este nuevo malware.

De nuevo, las medidas recomendadas son las habituales: sentido
común como nuestra mejor defensa, comprobar los permisos que pide
la aplicación cuando se instala y una red de seguridad por si falla
nuestra intuición. Nuestra propuesta pasa por la instalación de
Koodous, un antivirus ideado por y para la comunidad.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/03/mazain-un-nuevo-troyano-bancario-y-su.html