CIBERSEGURIDAD

Porno Flash Player lleva a los usuarios de Android a una larga marcha

0 163 2 minutos de lectura


Zscaler ha descubierto nuevas instancias del troyano Android Marcher que se oculta como un reproductor flash para ver pornografía en dispositivos Android, al pedir a los usuarios que actualicen su reproductor flash a través de Google Play Store y engañar a los usuarios para que completen sus detalles de pago, los propietarios están explotando Dios sabe cuántos desafortunados espectadores de la pornografía.
El archivo adjunto de correo electrónico que contiene el archivo flash de Adobe malicioso es donde comienza la historia. La aplicación X-VIDEO que luego se les dice a los usuarios que descarguen se ha descargado más de 100,000 veces según Play Store, pero cuando los usuarios hacen clic para descargar, el troyano Marcher interviene y muestra una pantalla de pago plana, en la que los usuarios ingresan la información de pago. Por supuesto, en realidad, acaban de entregar sus datos a los piratas informáticos y recibieron una aplicación poco fiable que nunca termina cargándose.
El troyano Marcher existe desde 2013, cuando buscaba estafar a los usuarios para obtener información de tarjetas de crédito mediante la implementación de la aplicación de pago falsa de Google Play Store. También se le ha visto trabajando con aplicaciones bancarias y le gusta robar credenciales.

Análisis técnico

El ciclo de infección comienza cuando el usuario móvil recibe una URL maliciosa por correo electrónico o SMS. Una vez que el usuario abre esta URL, el sitio le pedirá que descargue e instale Adobe Flash Player.
El archivo que se descarga como resultado de esta acción se llama acertadamente: AdobeFlashPlayer.apk. Tras la instalación, el malware solicita acceso administrativo para realizar sus funciones.
Una vez instalado, Marcher se conecta a un servidor de Command & Control (C&C) predeterminado y envía información sobre todas las aplicaciones instaladas en el dispositivo infectado.
Durante nuestro análisis, también observamos un enfoque único en el que el servidor C&C enviará una respuesta que generará una notificación MMS en el dispositivo infectado que dice «Ha recibido MMS» e indica al usuario que visite «mms-service[.]info / mms ”para ver el contenido del MMS.
Como parte del ciclo de infección, Marcher mostrará una pantalla de pago falsa de Google Play solicitando información de pago para completar la configuración de la cuenta.Este sitio redirige al usuario a la X-VIDEO aplicación en la tienda oficial de Google Play. Según varias revisiones de esta aplicación, los usuarios afirman que es una aplicación falsa que simplemente se bloquea después de la instalación. Pudimos verificar el mismo comportamiento de bloqueo cuando se instaló en el último sistema operativo Android Marshmallow 6.0.1. No hemos analizado esta aplicación con más detalle, pero nos hemos puesto en contacto con el equipo de Android de Google para revisar estos hallazgos. La aplicación en cuestión se ha descargado más de 100.000 veces y algunas de estas descargas pueden haber ocurrido desde dispositivos infectados. (ACTUALIZACIÓN: el equipo de Android de Google verificó que esta aplicación está limpia, pero la están monitoreando más).
Si el usuario cae en esta pantalla, la información de la tarjeta de crédito se registra y se transmite al servidor de C&C como se muestra a continuación:
Las variantes más nuevas de Android Marcher también presentarán una página de inicio de sesión de banca en línea falsa basada en la información recopilada sobre las aplicaciones bancarias ya instaladas en el dispositivo de las víctimas. Aquí hay una página de inicio de sesión falsa de muestra que el usuario verá si el dispositivo infectado tiene instalada la aplicación móvil Commonwealth Bank of Australia.
La información de las credenciales bancarias del usuario se retransmite al servidor C&C en texto sin formato.
BankSA – Bank of South Australia Las siguientes son algunas de las aplicaciones móviles de instituciones financieras a las que se dirige Marcher:

  • Commerzbank
  • Commonwealth Bank of Australia: aplicación NetBank
  • Deutsche Postbank
  • DKB – Deutsche Kreditbank
  • Banco DZ
  • Banco alemán
  • Fiducia y GAD IT
  • Ing directo
  • La Banque Postale
  • Mendons
  • NAB – Banco Nacional de Australia
  • PayPal
  • Banco Santander
  • Westpac
  • Aplicación de pago de facturas WellStar

Publicaciones relacionadas

IBM Mobile Cybersecurity Center convierte a RIT en su primera parada universitaria en su gira mundial.

250 millones de registros de soporte al cliente expuestos por una configuración incorrecta de la base de datos de Microsoft

Nationwide desarrolla una nueva aplicación segura que reconoce el comportamiento del usuario

El estudio de FireMon confirma que las soluciones de gestión de la seguridad son fundamentales para evitar violaciones de datos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar