La pantalla se apaga y el dinero desaparece: el troyano Albiriox ahora abre ventanas "vacías" para ocultar el robo.
La víctima cree que su móvil está en modo reposo, mientras los atacantes lo controlan por completo.
En un contexto de aumento de esquemas que permiten controlar dispositivos infectados en la red, ha surgido una nueva herramienta para atacar Android. Empresas de análisis de amenazas informaron sobre la aparición de varios servicios que se venden bajo el modelo MaaS (malware como servicio) y que permiten a los atacantes controlar de forma sigilosa los teléfonos inteligentes, ejecutar operaciones en aplicaciones bancarias y eludir mecanismos de protección.
Albiriox se convirtió en una de las novedades más destacadas. Sus desarrolladores ofrecen un conjunto de funciones para el control oculto de la pantalla, la automatización de acciones y la captura de datos. En el código del malware está incluida una larga lista de cientos de aplicaciones financieras con las que puede interactuar.
Su propagación se basa en una cadena de páginas falsas e instaladores de aplicaciones. Estos programas se hacen pasar por servicios reales, usan trucos de empaquetado y señuelos sociales para evadir el análisis estático. El equipo de Cleafy indica que los primeros anuncios de venta de la herramienta aparecieron en otoño, y que por varios indicios los creadores provienen de Europa del Este.
A los compradores se les proporciona un generador para ensamblar su propia versión, así como soporte de un servicio de cifrado externo, Golden Crypt, para eludir soluciones de protección. Una de las campañas registradas se dirigió a Austria. Las víctimas recibían enlaces a páginas falsas de Google Play donde se les ofrecía instalar la aplicación falsa PENNY Angebote & Coupons. Tras iniciarla, la aplicación pedía permiso para instalar nuevos componentes bajo el pretexto de una actualización y entregaba el malware principal.
Albiriox usa una conexión no cifrada por TCP para el control y permite operar de forma remota el dispositivo mediante VNC, extraer datos, mostrar pantallas en blanco y variar el volumen para enmascarar las acciones. Además se instala un módulo de acceso remoto basado en VNC que emplea los servicios de accesibilidad de Android para evitar la restricción FLAG_SECURE y obtener una vista completa de la interfaz incluso en aplicaciones que bloquean la grabación de pantalla.
El malware también puede suplantar la interfaz de servicios populares o mostrar ventanas del sistema ficticias, ocultando operaciones en segundo plano. La variante de propagación con la página falsa de PENNY contempla la recolección de números de teléfono austriacos y su envío a un bot de Telegram.
Paralelamente apareció otro malware llamado RadzaRat. Se distribuye como un gestor de archivos legítimo, pero tras la instalación obtiene acceso al sistema de archivos, puede exfiltrar datos, registrar pulsaciones mediante los servicios de accesibilidad y ser controlado a través de Telegram. Para mantenerse en el sistema utiliza permisos de inicio automático tras reinicios y técnicas para sortear las restricciones de ahorro de energía. Sofía Taylor, representante de Certo, señala que la herramienta está pensada para personas sin conocimientos técnicos, lo que la hace especialmente atractiva para grupos criminales.
Al mismo tiempo, los investigadores de D3Lab detectaron páginas falsas de Google Play para la aplicación «GPT Trade», que distribuyen malware de la familia BTMOB y el módulo UASecurity Miner. BTMOB, descrito a principios de año, utiliza los servicios de accesibilidad para desbloquear dispositivos, interceptar datos introducidos y realizar operaciones en nombre del usuario.
Otras campañas detectadas incluyen la distribución de APK infectadas que se hacen pasar por contenido para adultos. Estos esquemas emplean una infraestructura multinivel con ofuscación y comprobaciones que ayudan a evadir el análisis, informaron los especialistas de Unit 42.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla