Los ataques de superposición implican colocar capas complicadas encima de aplicaciones legítimas en dispositivos móviles como Android. Esta superposición maliciosa puede imitar la interfaz de una aplicación confiable y engañar a los usuarios para que ingresen información confidencial.
Los analistas de seguridad de NetCraft descubrieron recientemente que el malware HookBot utiliza ataques de superposición para hacerse pasar por marcas populares y robar datos.
HookBot es un troyano bancario que tiene como objetivo robar información confidencial, como credenciales bancarias, contraseñas y datos personales de las víctimas.
Se propaga a través de aplicaciones maliciosas que imitan software de marca legítima que se encuentra en “tiendas de aplicaciones no oficiales”.
Estrategias para proteger su sitio web y API de ataques de malware -> Webinar gratuito
El malware HookBot roba datos
No sólo eso, también tiene la capacidad de eludir los controles de seguridad en mercados oficiales como Google Play.
Una vez instalada, una aplicación infectada con HookBot establece comunicación con un servidor C2, lo que le permite recibir actualizaciones, recopilar nuevas cargas útiles y recopilar información del dispositivo antes de lanzar varios ataques. Extraer datos del usuario mediante técnicas.
La aplicación infectada con HookBot establece control sobre el dispositivo de la víctima (Fuente: Netcraft)
Principalmente, los ataques de superposición se utilizan para crear superposiciones visuales que imitan la interfaz de “aplicaciones legítimas” para engañar a los usuarios para que ingresen información confidencial, incluido el “registro de teclas”, la “captura de pantalla” y la “interceptación de SMS”. El informe de NetCraft documenta el acceso a la cuenta de la víctima.
Las aplicaciones infectadas con HookBot a menudo se hacen pasar por marcas conocidas con malware que se puede “renombrar” o “disfrazar” como otras aplicaciones legítimas para evitar la detección, lo que permite a los atacantes utilizar conocimientos técnicos mínimos. Tiene una “herramienta de creación” que le permite. para ejecutarlo.
Esto le permite generar “nuevas muestras de malware” y “adaptarlas para evadir las medidas de seguridad”.
Los investigadores observaron la distribución de HookBot a través de plataformas como Telegram en la cadena de suministro de malware. Allí, los actores de amenazas ofrecen una variedad de “opciones de compra” y “cuentan con funciones de seguridad integradas” para evadir la detección en sus campañas. .
Herramienta HookBot Builder (Fuente: Netcraft)
Las aplicaciones infectadas aprovechan HTML para actualizar rápidamente las superposiciones de los servidores C2 sin necesidad de actualizaciones de la aplicación.
El servidor C2 explota los permisos de accesibilidad de Android para automatizar la función de “enviar” y explota el dispositivo de la víctima para enviar automáticamente “mensajes de WhatsApp” a las configuraciones de numerosos actores de amenazas.
Este comportamiento similar al de un gusano permite que el malware se propague automáticamente entre dispositivos.
El operador de “HookBot” ofrece varias opciones de compra.
Opciones de compra (Fuente – Netcraft)
Además, los desarrolladores de malware utilizan herramientas de ofuscación como Obfuscapk para frustrar los esfuerzos de análisis y detección, lo que dificulta la aplicación de ingeniería inversa a su código.
Estas técnicas de ofuscación pueden proteger aplicaciones legítimas, pero cuando se usan incorrectamente, permiten a los autores de malware ocultar sus intenciones maliciosas y propagarse de manera más efectiva.
A pesar de los esfuerzos por reconocerlo y destruirlo, el malware HookBot continúa evolucionando, demostrando su resistencia y eficacia.
Las cadenas de suministro multicanal permiten que las infecciones se propaguen por todo el mundo, afectando a más organizaciones y a sus clientes.
Esto, junto con la disponibilidad de herramientas que permiten a atacantes poco cualificados crear e implementar dicho malware, exacerbará aún más esta tendencia.
Esto resalta la necesidad de soluciones de seguridad sólidas que puedan detectar y bloquear rápidamente actividades maliciosas dirigidas a marcas específicas.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
