ESET presentó una investigación donde identifica diferentes familias de troyanos bancarios que apuntan específicamente a América Latina.
A diferencia de la mayoría de los troyanos bancarios, los de América Latina no utilizan la inyección web, sino que emplean ingeniería social para llegar hasta el usuario. Detectan continuamente ventanas activas en la computadora de la víctima, y si encuentran una relacionada con un banco, lanzan un ataque.
Estos ataques generalmente se centran en persuadir a la víctima para que tome una acción urgente o necesaria. Puede vincularse la actualización de la aplicación bancaria utilizada por la víctima, o la verificación de la información tanto de una tarjeta de crédito como de los datos de acceso a la cuenta bancaria.
De esta manera, una falsa ventana emergente es utilizada para robar estos datos una vez que la víctima los ingresa o se utiliza también un teclado virtual que actúa como un keylogger. La información sensible es entonces enviada al atacante, quien hará uso de esta información de la manera en que considere más conveniente.
Dentro de las familias de malware recientemente descubiertas, Amavaldo está orientada a aplicaciones bancarias de Brasil y México y aún está en desarrollo activo, la última versión observada por ESET presenta una fecha de compilación del 10 de junio de 2019.
La misma se caracteriza por el uso de un esquema de cifrado personalizado utilizado para la ofuscación de cadenas. Una vez infiltrada puede recibir comandos para ampliar sus capacidades maliciosas, incluyendo:
- Capturar fotos de la víctima a través de la cámara web.
- Registro del texto que se introduce mediante el teclado.
- Descargar y ejecutar otros programas.
- Restringir accesos a varios sitios bancarios.
- Simulación de teclado y ratón.
- Auto actualización.
Además, Amavaldo utiliza una técnica de ataque sofisticada: una vez que detecta una ventana relacionada a un banco, realiza una captura de pantalla del escritorio y hace que se vea como el nuevo fondo de pantalla. Luego despliega una falsa ventana emergente que es elegida con base en el texto de la ventana activa, mientras deshabilita múltiples atajos de teclado y previene que la víctima interactúe con cualquier cosa adicional que no sea la ventana emergente.
Desde el Laboratorio de ESET se cree que los archivos maliciosos utilizados para infectar el dispositivo de la víctima se propagan a través de una campaña de correo electrónico no deseado, con archivos disfrazados de PDF legítimos.
“Sólo bancos de Brasil habían sido apuntados cuando encontramos por primera vez esta familia de malware, pero a partir de abril de 2019 extendió su rango a bancos de México. Aunque los bancos de Brasil atacados siguen presentes en el malware, de acuerdo a nuestros análisis, en la actualidad los operadores detrás de esta amenaza se están enfocando particularmente en México. Hasta el momento se identificaron más de 20 entidades financieras utilizadas por los atacantes para engañar a los usuarios”, comenta Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Las nuevas familias de troyanos bancarios descubiertos comparten un conjunto de características comunes: están escritos en el lenguaje de programación Delphi, contienen funcionalidad de backdoor, abusan de herramientas y software legítimos y están destinados a países de habla hispana o portuguesa.
En general los troyanos bancarios se distribuyen mediante un downloader (archivo ejecutable de Windows) que se hace pasar por el instalador de un software legítimo. En este caso se utiliza una cadena de múltiples etapas, empleando varias capas de downloaders, donde el payload final se entrega a través de un archivo zip que contiene el troyano bancario.
“Si bien a partir de este método resulta muy complicado para investigadores de malware llegar al final de la cadena y analizar el payload, también resulta más sencillo para una solución antivirus detener la amenaza, porque sólo necesita romper un eslabón de la cadena.”, concluyó Gutierrez.
