Si usas apps de minar criptomonedas en el móvil, que no sean estas: tienen malware ruso
F5 Labs descubre un malware para smartphones Android que roba información financiera y se disfraza de otras apps.
Hoy día ya no necesitas tener un ‘rig’ potente para empezar a minar criptomonedas, sino que es un proceso que puedes hacerlo incluso con tu smartphone -aunque obviamente cuando más potente sea el / los dispositivos, más rápido es el proceso.
Minar criptos en el móvil
De hecho, debido precisamente al aumento del número de personas interesadas en aprender a minar criptomonedas, los ciberdelincuentes están explotando activamente el interés de la gente no solo desplegando malware de minería de criptodivisas, sino, tal y como los expertos en ciberseguridad de F5 Labs han descubierto, creando aplicaciones falsas para Android que se dirigen a los interesados en las monedas virtuales.
Mientras rastreaban el troyano bancario móvil FluBot, F5 Labs descubrió recientemente una nueva cepa de malware para Android que han bautizado como "MaliBot". Una cepa cuyo principal objetivo son los clientes de banca online en España e Italia, y tiene capacidad para “robar credenciales, cookies y saltarse los códigos de autenticación multifactor (MFA)” que analizan en profundidad en este extenso y tecnológico post.
Controlado desde Rusia
Según F5 Labs, el C2 o infraestructura de comando y control de MaliBot “está en Rusia y parece utilizar los mismos servidores que se usaron para distribuir el malware Sality”. Muchas campañas se han originado desde esta IP desde junio de 2020, siendo MaliBot “una reelaboración muy modificada del malware SOVA, con diferentes funcionalidades, objetivos, servidores C2, dominios y esquemas de empaquetamiento”. El malware es capaz de realizar
- Ataques de inyección web/superposición
- Robo de carteras de criptomonedas (Binance, Trust)
- Robo de códigos MFA/2FA
- Robo de cookies
- Robo de mensajes SMS
- Posibilidad de eludir la autenticación en dos pasos de Google
- Acceso VNC al dispositivo y captura de pantalla
- La capacidad de ejecutar y eliminar aplicaciones a petición
- Capacidad de enviar mensajes SMS a petición del usuario
- Recopilación de información del dispositivo, incluyendo su IP, AndroidID, modelo, idioma, lista de aplicaciones instaladas, estados de pantalla y de bloqueo, e informes sobre las capacidades propias del malware
- Registro exhaustivo de cualquier operación exitosa o fallida, actividades telefónicas (llamadas, SMS) y cualquier error
Pero, ¿cómo se llega a colar MaliBot en los móviles de sus víctimas? El malware es capaz de disfrazarse como aplicaciones de minería de criptomonedas y otros servicios, como por ejemplo:
- Mining X
- The CryptoApp
- MySocialSecurity
- Chrome
La distribución de MaliBot se realiza “atrayendo a las víctimas a sitios web fraudulentos en los que se les engaña para que descarguen el malware”, o enviando directamente mensajes SMS de phishing (suplantación de identidad) a números de teléfono móvil. Las apps, que el usuario/a cree que son para minar criptomonedas, se descargan fuera de la Google Play Store.
Según F5 Labs, MaliBot es “una amenaza para los clientes de los bancos españoles e italianos, pero podemos esperar que se añada una gama más amplia de objetivos a la aplicación a medida que pase el tiempo. Además, la versatilidad del malware y el control que da a los atacantes sobre el dispositivo significan que, en principio, podría utilizarse para una gama más amplia de ataques que el robo de credenciales y criptomonedas. De hecho, cualquier aplicación que haga uso de WebView es susceptible de sufrir el robo de credenciales y cookies de los usuarios”.