Los investigadores de IBM Trusteer analizan continuamente los ataques de fraude financiero en los ámbitos en línea. En una investigación reciente sobre malware bancario móvil, profundizamos en el funcionamiento interno del malware BrazKing siguiendo una muestra encontrada por MalwareHunterTeam. BrazKing es un troyano bancario de Android de la categoría RAT. Se dirige principalmente a usuarios de banca móvil en Brasil y es probable que sea operado por un grupo de amenazas local.
Con una nueva versión de esta amenaza al descubierto, BrazKing desde la última versión. Resulta que sus desarrolladores han estado trabajando para hacer que el malware sea más ágil que antes, moviendo su mecanismo de superposición central para extraer pantallas superpuestas falsas del servidor de comando y control (C2) en tiempo real.
En la versión anterior, BrazKing abusó del servicio de accesibilidad para detectar qué aplicación abrió el usuario. Cuando el malware detectaba el lanzamiento de una aplicación bancaria dirigida, solía extraer una pantalla superpuesta de una URL codificada y presentarla encima de la aplicación legítima. Esta amenaza, ahora, automatiza una llamada al servidor del atacante, solicitando esas coincidencias sobre la marcha. La detección de qué aplicación se está abriendo ahora se realiza en el lado del servidor y el malware envía regularmente contenido en pantalla al C2. La captura de credenciales se activa desde el servidor C2 y no mediante un comando automático del malware.
La agilidad que se agrega aquí es que el atacante puede elegir la siguiente acción o evitar una según la información de la IP de la víctima (brasileña / otra), o si el malware se está ejecutando en un emulador. Pueden modificar lo que se envía de vuelta. Pueden ajustar la lista de objetivos en todo momento sin modificar el malware en sí.
Esta es una táctica que se a visto cuando los troyanos bancarios de escritorio comenzaron a entregar sus configuraciones e inyecciones web de la misma manera. Y esto demuestra que los troyanos de Android también lo hacen, y el desarrollador de BrazKing implementó ese cambio en esta versión.
