Conclusiones clave Desde julio de 2024, ha habido un aumento notable en la detección de una nueva variante del malware Gigabud. Este repunte indica una escalada en la distribución y el impacto del malware. Gigabud ahora está utilizando tácticas de phishing sofisticadas, distribuyendo su malware camuflándolo como aplicaciones legítimas de aerolíneas. Estas aplicaciones falsas se están distribuyendo a través de sitios de phishing que imitan de cerca la tienda oficial Google Play, con el objetivo de engañar a los usuarios desprevenidos. El alcance de las operaciones de Gigabud se ha ampliado y ahora se dirige a usuarios en una gama más amplia de países, incluidos Bangladesh, Indonesia, México, Sudáfrica y Etiopía. El análisis revela similitudes significativas entre Golddigger y el malware Gigabud, lo que sugiere que el mismo actor de amenazas (TA) está detrás de ambos. Esta conexión apunta a un origen y una estrategia compartidos, lo que refleja un enfoque coordinado en sus campañas maliciosas. La última iteración de Gigabud ha incorporado más de 30 puntos finales de API, lo que le permite admitir una amplia gama de nuevas funciones. Este desarrollo apunta a un esfuerzo deliberado por parte de los atacantes para desarrollar continuamente la funcionalidad del malware Descripción general En enero de 2023, Cyble Intelligence and Research Labs (CRIL) descubrió una campaña Gigabud que se hacía pasar por entidades gubernamentales para atacar a usuarios de Tailandia, Filipinas y Perú. En junio de 2023, surgió el troyano bancario para Android Golddigger, que atacaba a usuarios de Vietnam haciéndose pasar por una entidad gubernamental vietnamita. Un análisis reciente ha revelado que el código fuente de los malwares Gigabud y Golddigger muestra una superposición significativa, lo que indica que los mismos AT están detrás de ambas campañas. CRIL ha estado siguiendo de cerca la evolución de la campaña Gigabud y ha observado una expansión estratégica en sus objetivos. Inicialmente centrado en regiones como Vietnam y Tailandia, el malware ahora ha ampliado su alcance para incluir nuevos objetivos en Bangladesh, Indonesia, México, Sudáfrica y Etiopía. Esta ampliación de los objetivos pone de relieve un mayor alcance y sofisticación en el enfoque del AT. Sitios de phishing que se hacen pasar por South African y Ethiopian Airlines CRIL ha identificado varios sitios de phishing que replican la página de Google Play para distribuir el malware Gigabud. Estos sitios están diseñados para engañar a los usuarios para que descarguen aplicaciones maliciosas haciéndose pasar por South African Airways y Ethiopian Airlines legítimas. La detección de muestras maliciosas similares originadas en Sudáfrica, junto con el uso del malware de identidades de aerolíneas africanas, indica que las agencias de viajes han ampliado su lista de objetivos para incluir tanto a Sudáfrica como a Etiopía. Figura 1: sitio de phishing que distribuye la aplicación falsa de South African Airways Figura 2: sitio de phishing que distribuye la aplicación falsa de Ethiopian Airlines Malware Gigabud que se hace pasar por un banco mexicano y una entidad gubernamental fiscal de Indonesia Hemos observado que ciertas muestras de malware Gigabud ahora se hacen pasar por el banco mexicano «HeyBanco» al presentar una página de inicio de sesión falsificada. Estas muestras fraudulentas, que también se enviaron desde México a VirusTotal, indican un nuevo enfoque del malware Gigabud en la región mexicana. Figura 3 – Página de inicio de sesión falsa de HeyBanco cargada por malware (izquierda) vs página genuina de HeyBanco (derecha) También se ha detectado malware Gigabud haciéndose pasar por la aplicación oficial «M-Pajak», que pertenece a la Dirección General de Impuestos de Indonesia. Estas muestras imitan la aplicación gubernamental legítima al presentar una página de inicio de sesión falsificada, muy similar a la aplicación maliciosa MyBanco observada anteriormente. Figura 4 – Página de inicio de sesión falsa de M-Pajak cargada por malware (izquierda) vs página de inicio de sesión genuina de M-Pajak (derecha) La siguiente figura ilustra la diversa gama de íconos empleados por el malware Gigabud para hacerse pasar por entidades legítimas. Figura 5 – Íconos utilizados por el malware Gigabud Desde principios de junio de 2024, la distribución del malware Gigabud ha aumentado significativamente, lo que indica un esfuerzo intensificado por parte de la AT para llegar a un público más amplio. Este repunte en la actividad refleja una expansión estratégica de la implementación del malware destinada a comprometer a un grupo más grande de víctimas potenciales. El gráfico a continuación proporciona una vista detallada de las tendencias de distribución del malware durante los últimos seis meses. Figura 6 – Gráfico que indica el repunte de la actividad de Gigabud La siguiente sección profundiza en los detalles técnicos del malware y destaca sus similitudes con Golddigger. Detalles técnicos Se han detectado nuevas muestras del malware Gigabud utilizando el empaquetador Virbox y empleando técnicas de evasión explotando el formato de archivo zip, similares a los métodos utilizados por el malware Golddigger. El empaquetador Virbox oculta la verdadera naturaleza del malware, lo que dificulta que las soluciones de seguridad lo identifiquen y analicen. Figura 7 – Uso del empaquetador Virbox Similitudes entre Gigabud y Golddigger El malware Golddigger utilizó el archivo .so nativo llamado «libstrategy.so» para manejar el código específico de los elementos de la interfaz de usuario de las aplicaciones bancarias objetivo. Este archivo jugó un papel crucial en la identificación de los elementos de la interfaz de usuario de los bancos objetivo. En versiones recientes de Gigabud, se ha identificado un código fuente similar, lo que indica que Gigabud ha adoptado un enfoque comparable. Figura 8 – Golddigger (izquierda) y Gigabud (derecha) comparten una biblioteca similar Al examinar los archivos nativos de Golddigger y Gigabud, descubrimos que Gigabud ha incorporado soporte para dos aplicaciones bancarias adicionales: Yape (com.bcp.innovacxion.yapeapp), una aplicación de pago digital de Perú, y Dutch-Bangla Bank Rocket (com.dbbl.mbs.apps.main), una aplicación de banca móvil de Bangladesh. Figura 9 – Lista de objetivos de Golddigger (izquierda) vs. Lista de objetivos de Gigabud (derecha) Hasta ahora, hemos atribuido estas muestras recientes a Golddigger en función de su uso común de la biblioteca, pero una investigación más profunda de una muestra descomprimida indicó que en realidad son malware de Gigabud. En nuestra investigación sobre la campaña de Gigabud, descubrimos un archivo descomprimido distribuido a través del sitio de phishing “hxxps://airways[.]ajgo[.]cc/assets/images.” A diferencia de las variantes empaquetadas, esta muestra no está empaquetada con el empaquetador Virbox. Sin embargo, utiliza las mismas bibliotecas e incluye clases idénticas a las que se encuentran en las versiones empaquetadas. Figura 10: muestras de Gigabud desempaquetadas (izquierda) frente a empaquetadas (derecha) En nuestro análisis de muestras desempaquetadas, observamos que el código de las muestras identificadas en 2023 tiene similitudes sorprendentes con el código de las variantes más recientes, en particular en la forma en que muestran cuadros de diálogo bancarios falsos. La siguiente figura ilustra las similitudes de código entre las variantes antiguas y las nuevas. Figura 11: el mismo código presente en muestras antiguas y nuevas Además de compartir código, las muestras recientes del malware Gigabud utilizan la biblioteca Retrofit para la comunicación de Comando y Control (C&C). Nuestro análisis reveló que estas muestras recientes utilizan puntos finales de API que son consistentes con los utilizados en versiones anteriores de Gigabud. Esta correlación confirma que las nuevas muestras son de hecho variantes del malware Gigabud. Figura 12 – Puntos finales utilizados en versiones antiguas y nuevas de Gigabud Las últimas muestras del malware Gigabud ahora cuentan con 32 puntos finales API, un aumento sustancial de los 11 puntos finales encontrados en versiones anteriores. Esta expansión significa actualizaciones y mejoras por parte del TA durante el año pasado. A continuación, se muestran algunos de los nuevos puntos finales introducidos en la versión más reciente del malware Gigabud. Puntos finales Descripción /x/five/upload Subir video facial grabado x/common-sms Subir SMS x/command-screen-up Envía contenido de pantalla /x/dk-register Envía detalles bancarios robados /x/common-books Subir contactos /x/five/user-upload-batch Subir archivos desde un dispositivo infectado /x/five/config-list Recibe lista de configuración Aunque las muestras recientes presentan predominantemente código similar al del malware Gigabud, descubrimos que también incorporan la biblioteca “libstrategy.so” y su contraparte Java, “com.strategy.utils”, de Golddigger. Esta biblioteca es fundamental para el malware, ya que incluye identificadores de elementos de la interfaz de usuario analizados para varias aplicaciones bancarias específicas y las ventanas de patrones de bloqueo de configuraciones en diferentes dispositivos móviles. Las marcas de dispositivos compatibles incluyen: Honor Infinix Meizu Motorola Oppo Realme Samsung Vivo OnePlus Xiaomi Figura 13: identificadores de elementos de la interfaz de usuario analizados de la ventana de bloqueo en el archivo nativo de Strategy Figura 14: identificadores de elementos de la interfaz de usuario analizados de aplicaciones bancarias específicas en el archivo nativo de Strategy El malware aprovecha estos elementos de la interfaz de usuario analizados para identificar e interactuar con precisión con los componentes de la interfaz de usuario en el dispositivo de la víctima. Esta capacidad le permite ejecutar varias acciones maliciosas, incluido bloquear y desbloquear el dispositivo infectado y apuntar a elementos específicos de la interfaz de usuario relacionados con aplicaciones bancarias específicas para exfiltrar información financiera. Figura 15: uso de elementos y métodos analizados del archivo nativo de Strategy para desbloquear el dispositivo y robar la contraseña El análisis de muestras recientes de Gigabud sugiere que el mismo TA está detrás de Golddigger y Gigabud, utilizando módulos comunes en sus herramientas. El archivo nativo de Strategy es un ejemplo de cómo el TA usó un archivo común y lo incorporó en dos cepas de malware diferentes para llevar a cabo ataques. Además, el uso de un empaquetador, temas de phishing y suplantación de entidades legítimas indican que el mismo actor de amenazas está detrás de la campaña. Conclusión Nuestra investigación revela una superposición significativa entre el malware Golddigger y Gigabud, lo que indica que el mismo agente de amenazas está detrás de ambos. El reciente aumento de muestras de Gigabud, junto con el uso de bibliotecas y técnicas comunes, subraya las tácticas en evolución del actor y la ampliación de los objetivos. Con la incorporación de nuevas características y una mayor variedad de regiones objetivo, incluidos Bangladesh, Indonesia, México, Sudáfrica y Etiopía, el panorama de amenazas continúa cambiando. El código compartido, los esquemas de phishing similares y las tácticas de suplantación confirman aún más la conexión entre estas cepas de malware, lo que destaca la necesidad de una mayor vigilancia y medidas defensivas avanzadas contra estas amenazas persistentes. Nuestras recomendaciones Hemos enumerado algunas de las mejores prácticas esenciales de ciberseguridad que crean la primera línea de control contra los atacantes. Recomendamos que nuestros lectores sigan las mejores prácticas que se detallan a continuación: Si es posible, active medidas de seguridad biométricas como la huella digital o el reconocimiento facial para desbloquear su dispositivo móvil. Tenga cuidado cuando se trate de abrir enlaces recibidos por SMS o correos electrónicos en su teléfono. Confirme que Google Play Protect esté activado para dispositivos Android. Tenga cuidado al otorgar permisos. Mantenga sus dispositivos, sistemas operativos y aplicaciones actualizados. Técnicas de MITRE ATT&CK® Táctica Técnica ID Procedimiento Defensa Evasión (TA0030) Enmascaramiento: Coincidir con nombre legítimo o ubicación (T1655.001) Malware que enmascara entidades legítimas Persistencia (TA0028) Ejecución activada por eventos: Receptores de difusión (T1624.001) El malware ha implementado un receptor de difusión para monitorear las acciones de la pantalla Descubrimiento (TA0032) Información del sistema Descubrimiento (T1426) El malware recopila información básica del dispositivo. Descubrimiento (TA0032) Descubrimiento de archivos y directorios (T1420) El malware recopila archivos del almacenamiento externo Evasión de defensa (TA0030) Ocultar artefactos: suprimir el icono de la aplicación (T1628.001) El malware puede ocultar el icono Recopilación (TA0035) Datos de usuario protegidos: lista de contactos (T1636.003) El malware recopila contactos del dispositivo infectado Recopilación (TA0035) Datos de usuario protegidos: mensajes SMS (T1636.004) Roba SMS del dispositivo infectado Recopilación (TA0035) Notificaciones de acceso (T1517) El malware supervisa las notificaciones Recopilación (TA0035) Captura de entrada: registro de teclas (T1417.001) El malware roba credenciales mediante el registro de teclas Recopilación (TA0035) Captura de pantalla (T1513) El malware puede grabar la pantalla Comando y control (TA0037) Protocolo de capa de aplicación: protocolos web (T1437) El malware utiliza Protocolo HTTPS para comunicación de C&C Exfiltración (TA0036) Exfiltración a través del canal C2 (T1646) Envío de datos exfiltrados a través del servidor C&C Indicadores de compromiso (IOC) Indicadores Tipo de indicador Descripción d19a134f8e4961ec53e53fc21b3606063d821579ef4427ddaac011c7624b0af4 327c041ba063d32e7378483aa7ebdf73ea6787db 4d1d13cb7ce979cdb3a22838c8885794 SHA256 SHA1 MD5 Muestra descomprimida de Gigabud b700cee5e89305186b65a7c42c545263b3c11587ac1feb91fc3747353bde59e9 2337bf80e136ee99ee59096081d7a937fd79adc3 853c98feaec405722c8353ff2d697f9e SHA256 SHA1 MD5 Gigabud empaquetado muestra rpc.nafe3[.]Servidor C&C del dominio xyz hxxps://airways.ajgo[.]cc/ hxxps://etíope[.]zkgo.cc hxxps://dstv[.]URL de atferu.com URL de phishing relacionada