Escrito por el equipo de investigación móvil de Dexter Shin McAfee descubrió una nueva campaña de malware de Android dirigida a usuarios de habla hindi, principalmente en la India. El malware se hace pasar por aplicaciones financieras indias populares, incluidas SBI Card, Axis Bank y Indusind Bank, y se distribuye a través de sitios web de phishing que se están creando continuamente. Lo que hace que esta campaña sea única es su diseño de doble propósito: roba información personal y financiera al tiempo que minera silenciosamente la criptomoneda de Monero utilizando XMRIG, que se desencadena a través de Firebase Cloud Messaging (FCM). También abusa de la confianza del usuario al pretender ser una actualización de la aplicación legítima de Google Play. McAfee, como parte de la alianza de defensa de la aplicación comprometida con la protección de los usuarios y el ecosistema de aplicaciones, informó las aplicaciones maliciosas identificadas a Google. Como resultado, Google bloqueó la cuenta FCM asociada para evitar un mayor abuso. Además, McAfee Mobile Security detecta todas estas aplicaciones como amenazas de alto riesgo. Para obtener más información, visite la página de seguridad móvil de McAfee. Esta campaña se dirige a los usuarios indios al hacerse pasar por servicios financieros legítimos para atraer a las víctimas a instalar una aplicación maliciosa. Esta no es la primera campaña de malware dirigida a usuarios indios. En el pasado, McAfee ha reportado otras amenazas. En este caso, los atacantes llevan un paso más al usar activos reales de sitios web bancarios oficiales para crear páginas de phishing convincentes que alojan la carga útil de malware. La aplicación entregada a través de estos sitios de phishing funciona como un gotero, lo que significa que inicialmente parece inofensivo, pero luego carga dinámicamente y ejecuta la carga útil maliciosa real. Esta técnica ayuda a evadir la detección estática y complica el análisis. Además de entregar una carga útil maliciosa, el malware también minas la criptomoneda en dispositivos móviles infectados. Cuando el malware recibe comandos específicos a través de FCM, inicia silenciosamente un proceso de minería de fondo para Monero (XMR). Monero es una criptomoneda centrada en la privacidad que oculta las direcciones de transacción, las identidades del remitente y el receptor, y los montos de la transacción. Debido a estas características de privacidad, los ciberdelincuentes a menudo lo usan para mantenerse oculto y mover dinero ilegal sin ser atrapado. Su algoritmo minero, Randomx, está optimizado para las CPU de uso general, lo que permite extraer Monero de manera eficiente incluso en dispositivos móviles. Métodos de distribución de hallazgos técnicos El malware se distribuye a través de sitios web de phishing que se hacen pasar por servicios financieros indios. Estos sitios están diseñados para parecerse mucho a los sitios bancarios oficiales y a los usuarios de engañar a la descarga de una aplicación de Android falsa. Aquí hay algunos sitios de phishing que encontramos durante nuestra investigación. Figura 1. Captura de pantalla de un sitio web de phishing Estas páginas de phishing de las imágenes de carga, JavaScript y otros recursos web directamente desde los sitios web oficiales para parecer legítimos. Sin embargo, incluyen elementos adicionales como los botones «Get App» o «Descargar», lo que solicita a los usuarios a instalar el archivo APK malicioso. Análisis de gotero Cuando se inicia la aplicación, la primera pantalla que ve el usuario parece una página de Google Play Store. Le dice al usuario que necesita actualizar la aplicación. Figura 2. La pantalla inicial que se muestra en la aplicación Dropper, la aplicación incluye un archivo DEX cifrado almacenado en la carpeta de activos. Este archivo no es la carga útil maliciosa real, sino un componente del cargador. Cuando la aplicación se ejecuta, descifra este archivo usando la tecla XOR y lo carga dinámicamente en la memoria. El archivo DEX cargado contiene un código personalizado, incluido un método responsable de cargar cargas útiles adicionales. Figura 3. La primera etapa del cargador cifrado DEX y la tecla XOR Una vez que se carga el DEX en la primera etapa, el método del cargador dentro de él descifra y carga un segundo archivo encriptado, que también se almacena en los activos. Este segundo archivo contiene la carga útil maliciosa final. Al dividir el proceso de carga en dos etapas, el malware evita exponer cualquier código claramente malicioso en el APK principal y dificulta el análisis estático. Figura 4. Carga de carga maliciosa de segunda etapa cargada por la clase de cargador Una vez que se carga esta carga útil, la aplicación muestra una interfaz financiera falsa que parece una aplicación real. Lleva al usuario que ingrese detalles confidenciales, como su nombre, número de tarjeta, CVV y fecha de vencimiento. La información recopilada se envía al servidor de comando y control del atacante (C2). Después de enviar, la aplicación muestra una página de administración de tarjetas falsas con mensajes como «recibirá la confirmación de correo electrónico dentro de las 48 horas», dando la falsa impresión de que el proceso está en curso. Todas las características de la página son falsas y no realizan ninguna función real. Figura 5. Pantalla de verificación de tarjetas falsas Monero Proceso de minería Como se mencionó anteriormente, una de las características clave de esta campaña es su funcionalidad de criptominación oculta. La aplicación incluye un servicio que escucha mensajes FCM específicos, que se activan para el inicio del proceso de minería. Figura 6. Servicio de mensajería de Firebase se declara en el manifiesto. En el segundo código cargado dinámicamente, hay una rutina que intenta descargar un archivo binario de fuentes externas. El malware contiene 3 URL codificadas e intenta descargar el binario de todos ellos. Figura 7. URL codificadas utilizadas por el malware para descargar un archivo binario El binario descargado está encriptado y tiene una extensión .sO, que generalmente indica una biblioteca nativa. Sin embargo, en lugar de cargarlo normalmente, el malware utiliza ProcessBuilder, una clase Java para ejecutar procesos externos, para ejecutar directamente el archivo como un binario independiente. Figura 8. Ejecución de binario descargado usando ProcessBuilder Lo que es particularmente interesante es la forma en que se ejecuta el binario. El malware pasa un conjunto de argumentos al proceso que coinciden exactamente con las opciones de línea de comandos utilizadas por XMRIG, una herramienta de minería de código abierto. Estos incluyen especificar el servidor de la piscina de minería y configurar la moneda de destino en Monero. Figura 9. Argumentos compatibles con XMRIG pasados al proceso de minería cuando se ejecuta el binario descifrado, muestra mensajes de registro idénticos a los producidos por XMRIG. En resumen, este malware está diseñado para extraer Monero en segundo plano en dispositivos infectados cuando recibe mensajes FCM específicos. Figura 10. Binario descifrado que muestra las recomendaciones y la conclusión de mensajes de registro XMRIG Figura 11. Distribución geográfica de dispositivos infectados La telemetría muestra que la mayoría de las infecciones se concentran en la India, lo que se alinea con el uso de lenguaje hindi de la campaña y suplantación de aplicaciones financieras indias. También se observó un pequeño número de detecciones en otras regiones, pero estas parecen ser limitadas. Lo que hace que esta campaña sea notable es su diseño de doble propósito, que combina el robo de datos financieros con criptominación de fondo, activado de forma remota a través de Firebase Cloud Messaging (FCM). Esta técnica permite que el malware permanezca latente y sin ser detectado hasta que reciba un comando específico, lo que dificulta que los usuarios y los defensores detecten. Para mantenerse protegidos, se recomienda encarecidamente a los usuarios que descarguen aplicaciones solo de fuentes de confianza como Google Play, y para evitar hacer clic en los enlaces recibidos a través de SMS, WhatsApp o redes sociales, especialmente aquellos que promueven los servicios financieros. También es importante ser cauteloso al ingresar información personal o bancaria en aplicaciones desconocidas. Además, el uso de una solución de seguridad móvil confiable que puede detectar aplicaciones maliciosas y bloquear los sitios web de phishing puede proporcionar una capa adicional de protección contra amenazas como esta. Indicadores de compromiso (COI) Valor de tipo Descripción APK 2C1025C92925FEC9C500E4BF7B4E9580F9342D44E21A34A44C1BCE43535353216C SBI APK APK B01185E1FBA96209C01F00728F6265414DFCA58C92A66C3B4065A344F72768CE ICICI APK 80C6435F859468E660A92FC44A2CD80C059C05801DAE38B2478C5874429F12A0 AXIS APK 59C6A0431D25BE7E952FCFB8BD00D3815D8B5341C4B4DE54D8288149090DCD74 INDUSTIND APK APK 40bae6f2f736fcf03efdbe6243ff28c524dba602492b0dbb5fd280910a87282d kotak url url https[://]www.sbi.mycardcare.in Phishing Site URL HTTPS[://]kotak.mycardcard.in URL del sitio de phishing https[://]axis.mycardcare.in Phishing Site URL HTTPS[://]Indusind.MyCardCare.in Phishing Site URL HTTPS[://]ICICI.MYCARDCARE.in Phishing Site Firebase 469967176169 FCM Cuenta \ x3cimg Height = «1» Width = «1» Style = «Display: Ninguno» src = «https://www.facebook.com/tr?id=76537420057144&ev=pageview&nosctip /> \ x3c /noscript> ‘);