Investigadores de ciberseguridad han identificado seis nuevas familias de malware para Android con capacidades para robar datos de dispositivos comprometidos y cometer fraudes financieros. Estas amenazas incluyen desde troyanos bancarios tradicionales como PixRevolution, TaxiSpy RAT, BeatBanker, Mirax y Oblivion RAT hasta herramientas de administración remota completas como SURXRAT.
Según Zimperium, PixRevolution ataca la plataforma de pagos instantáneos Pix de Brasil, secuestrando en tiempo real las transferencias de las víctimas para redirigir los fondos a los atacantes en lugar del destinatario previsto. 'Esta nueva cepa de malware opera de forma sigilosa en el dispositivo hasta que la víctima inicia una transferencia Pix', explicó el investigador Aazim Yaswant. 'Lo que distingue a esta amenaza de los troyanos bancarios convencionales es su diseño fundamental: un operador humano o un agente de IA está activamente involucrado en el extremo remoto, observando la pantalla del teléfono de la víctima al instante, listo para actuar en el momento exacto de la transacción'.
El malware se propaga mediante páginas falsas de Google Play Store que imitan aplicaciones legítimas como Expedia, Sicredi y Correios, engañando a los usuarios para que instalen archivos APK maliciosos. Una vez instaladas, las aplicaciones solicitan habilitar servicios de accesibilidad para lograr sus objetivos. También se conecta a un servidor externo a través de TCP en el puerto 9000 para enviar mensajes periódicos de heartbeat con información del dispositivo y activar la captura de pantalla en tiempo real mediante la API MediaProjection de Android.
La funcionalidad principal de PixRevolution consiste en monitorear la pantalla de la víctima y mostrar una superposición falsa en cuanto el usuario ingresa el monto deseado y la clave Pix del destinatario para iniciar el pago. En ese momento, el troyano muestra una superposición WebView falsa que dice 'Aguarde...' (que significa 'espera' en portugués/español), mientras que en segundo plano modifica la clave Pix por la del atacante para completar la transferencia. En la etapa final, la superposición se elimina y se muestra una pantalla de confirmación de 'transferencia completa' en la aplicación Pix. 'Desde la perspectiva de la víctima, no ocurrió nada inusual', señaló Yaswant. 'La aplicación mostró brevemente un indicador de carga, algo que ocurre rutinariamente durante operaciones bancarias legítimas. La transferencia se confirmó con éxito. El monto que pretendían enviar se dedujo de su cuenta. Solo después, a veces mucho después, la víctima descubre que el dinero fue a una cuenta equivocada. Y como las transferencias Pix son instantáneas e irrevocables, la recuperación es extraordinariamente difícil'.
Los usuarios brasileños también son el objetivo de otra campaña de malware para Android llamada BeatBanker, que se propaga principalmente a través de ataques de phishing mediante un sitio web disfrazado de Google Play Store. BeatBanker debe su nombre al uso de un mecanismo de persistencia inusual que reproduce un archivo de audio casi inaudible, una grabación de 5 segundos con palabras en chino, en bucle para evitar ser eliminado. Además de incorporar comprobaciones en tiempo de ejecución para entornos emulados o de análisis, el malware monitorea la temperatura y el porcentaje de la batería, y verifica si el usuario está usando el dispositivo para iniciar o detener un minero de Monero según sea necesario. Utiliza Firebase Cloud Messaging (FCM) de Google para el comando y control (C2).
'Para lograr sus objetivos, los APK maliciosos contienen múltiples componentes, incluido un minero de criptomonedas y un troyano bancario capaz de secuestrar completamente el dispositivo y falsificar pantallas, entre otras cosas', dijo Kaspersky. 'Cuando el usuario intenta realizar una transacción USDT, BeatBanker crea páginas superpuestas para Binance y Trust Wallet, reemplazando encubiertamente la dirección de destino con la dirección de transferencia del actor de amenaza'. El módulo bancario también monitorea navegadores web como Chrome, Edge, Firefox, Brave, Opera, DuckDuckGo, Dolphin Browser y sBrowser para las URL visitadas por la víctima. Además, admite la capacidad de recibir una larga lista de comandos del servidor para recopilar información personal y obtener control completo del dispositivo.
Iteraciones recientes de la campaña han sido encontradas distribuyendo BTMOB RAT en lugar del módulo bancario. Este proporciona a los operadores control remoto completo, acceso persistente y vigilancia sobre los dispositivos comprometidos. Se evalúa que BTMOB es una evolución de las familias CraxsRAT, CypherRAT y SpySolr, todas vinculadas a un actor de amenazas sirio que utiliza el alias EVLF. 'También vimos la distribución y venta del código fuente filtrado de BTMOB en algunos foros de la dark web', dijo el proveedor de seguridad ruso. 'Esto puede sugerir que el creador de BeatBanker adquirió BTMOB de su autor original o de la fuente de la filtración y lo está utilizando como carga final'.
TaxiSpy RAT, similar a PixRevolution, abusa del servicio de accesibilidad de Android y las APIs MediaProjection para recopilar mensajes SMS, contactos, registros de llamadas, contenido del portapapeles, lista de aplicaciones instaladas, notificaciones, PINs de pantalla de bloqueo y pulsaciones de teclas, además de atacar aplicaciones bancarias, de criptomonedas y gubernamentales rusas mediante superposiciones para robar credenciales. El malware combina la funcionalidad tradicional de troyano bancario con capacidades completas de RAT, permitiendo a los actores de amenazas recopilar datos sensibles y ejecutar comandos enviados a través de mensajes push de Firebase. Varias muestras de TaxiSpy han sido descubiertas tanto por CYFIRMA como por Zimperium, lo que indica esfuerzos activos de los atacantes para evadir la detección basada en firmas y las defensas de listas negras.
'El malware aprovecha técnicas avanzadas de evasión, como el cifrado de bibliotecas nativas, la ofuscación de cadenas XOR rodante y el control remoto VNC en tiempo real a través de WebSocket', dijo CYFIRMA. 'Su diseño permite una vigilancia integral del dispositivo, incluyendo monitoreo de SMS, registros de llamadas, contactos, notificaciones y aplicaciones bancarias, lo que destaca su motivación financiera y su enfoque regional específico'.
Otro troyano bancario para Android notable es Mirax, que ha sido promocionado por un actor de amenazas llamado Mirax Bot como una oferta privada de malware como servicio (MaaS) por un precio mensual de 2,500 dólares por la versión completa o 1,750 dólares por una variante ligera. Mirax afirma ofrecer superposiciones bancarias, recopilación de información (como pulsaciones de teclas, SMS, patrones de desbloqueo) y un proxy SOCKS5 para enrutar tráfico malicioso a través de dispositivos comprometidos.
Mirax no es la única oferta MaaS para Android detectada en los últimos meses. Un nuevo troyano de acceso remoto para Android llamado Oblivion se vende por alrededor de 300 dólares al mes (o 1,900 dólares al año y 2,200 dólares por acceso de por vida) y afirma eludir la detección y las funciones de seguridad en dispositivos de los principales fabricantes. Una vez instalado, el malware emplea un mecanismo automático de concesión de permisos que no requiere interacción de la víctima. Según el vendedor, este enfoque funciona en MIUI/HyperOS (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) y OxygenOS (OnePlus).
'Lo que lo distingue no es una sola característica. Es la combinación: omisión automatizada de permisos, control remoto oculto, persistencia profunda y un constructor de punto y clic que pone todo esto al alcance de posibles hackers incluso con el nivel más mínimo de habilidad técnica', dijo Certos. 'Google ha priorizado las restricciones progresivas sobre el abuso del servicio de accesibilidad en versiones sucesivas de Android. Una herramienta que esquiva creíblemente esas protecciones en la última versión, y lo hace en dispositivos de Samsung, Xiaomi, OPPO y otros, representa un desafío genuino para las defensas a nivel de plataforma'.
También distribuida comercialmente a través de un ecosistema MaaS basado en Telegram, se encuentra una familia de malware para Android llamada SURXRAT, que se evalúa como una versión mejorada de Arsink. El malware abusa de los permisos de accesibilidad para obtener control persistente y se comunica con una infraestructura C2 basada en Firebase para tomar el control de los dispositivos infectados. El malware se comercializa en un canal de Telegram administrado por un actor de amenazas indonesio.
Lo notable de algunas de las nuevas muestras es la presencia de un componente de modelo de lenguaje grande (LLM), lo que indica que los actores de amenazas detrás del malware están experimentando con capacidades de inteligencia artificial, junto con la vigilancia tradicional. Sin embargo, la descarga del módulo LLM se activa solo cuando aplicaciones de juegos específicas están activas en el dispositivo de la víctima, o cuando recibe nombres de paquetes objetivo alternativos dinámicamente del servidor, como Free Fire MAX x JUJUTSU KAISEN (com.dts.freefiremax) y Free Fire x JUJUTSU KAISEN (com.dts.freefireth).
Algunas muestras de SURXRAT también incorporan un módulo de bloqueo de pantalla estilo ransomware que permite a un operador remoto secuestrar el control del dispositivo de la víctima y denegar el acceso mostrando un mensaje de bloqueo de pantalla completa hasta que se realice un pago. 'Esta evolución destaca cómo los marcos de RAT para Android existentes continúan siendo reutilizados y expandidos por los actores de amenazas, acelerando los ciclos de desarrollo de malware y permitiendo la rápida introducción de nuevas funcionalidades de vigilancia y control', dijo Cyble. 'La experimentación observada con la integración de grandes modelos de IA indica además que los actores de amenazas están explorando activamente tecnologías emergentes para mejorar la efectividad operativa y evadir la detección'.
