HYDRA INCORPORA BANCOS ESPAÑOLES

HYDRA INCORPORA BANCOS ESPAÑOLES

Los creadores de malware continúan poniendo a prueba la atención de los clientes de banca en nuestro país. El uso de troyanos bancarios para cometer fraude es un negocio tan lucrativo que son muchos los que se animan a desarrollar variantes de estos.

Si bien hace mes y medio hablábamos sobre un nuevo troyano bancario llamado BlackRock, en esta ocasión el equipo de BOTECH ha detectado una nueva variante del troyano Hydra con afectación a bancos españoles.

Por si hay algún despistado que cree que nos referimos a la organización terrorista ficticia que aparece en los cómics de Marvel, Hydra es un troyano bancario de
Android basado en superposición similar a los famosos Anubis o Cerberus. Aunque fue detectado por primera vez en 2018, no es hasta 2019 cuando el malware incorpora funcionalidades de troyano bancario. Se trata de un malware que en sus inicios estaba dirigido exclusivamente al sector bancario turco y a algunas aplicaciones de criptomonedas. Sin embargo, en las últimas muestras estudiadas, se ha detectado la inclusión de nuevas entidades bancarias españolas y europeas.

Al igual que el resto de troyanos bancarios de Android, éste abusa del servicio de accesibilidad para desplegar todas sus funcionalidades.

Ilustración 1: Solicitud de permisos de accesibilidad por parte del malware.

¿Qué puede hacer Hydra exactamente?

Sus principales funcionalidades son:

● Visualización de la pantalla del teléfono en tiempo real.
● Instalación remota de aplicaciones.
● Funcionalidades de RAT (Troyano de acceso remoto).
● Superposición de pantallas bancarias falsas.
● Interceptación y robo de mensajes SMS.
● Funcionalidad de Back-connect proxy.
● Imposibilidad de desinstalar la aplicación desde el apartado de aplicaciones.

Una vez instalado, y obtenidos los permisos necesarios, la aplicación maliciosa queda a la espera de que el usuario acceda a una de las aplicaciones bancarias listadas en el malware. El troyano dispone de una gran cantidad de pantallas falsas que utilizará para suplantar a la aplicación bancaria legítima y, de esta forma, obtener los datos bancarios de sus víctimas.

Ilustración 2: Ejemplo de plantillas falsas de Bankia utilizadas por Hydra.

Indicadores de compromiso (IOCs)

MD5: 42db4c94231ec77352bab35bed73aeac
SHA-256: f87b96b85f8d44ba5bf86d51bbff20a295619492d6974df7132ec3665e430221
C&C: hxxps://buchatzlo[.]xyz, hxxps://huuuuuuuaaaaahhh[.]com, hxxps://pirates10[.]xyz, hxxps://tryykk[.]xyz

MD5: 569cedfa36e6985ba5251616a3dda09f
SHA-256: b92cc1f0b88d4621384a15f8ff0e590d87c0699a98643a8a7f1d66a2e30e3c7f
C&C: hxxps://buchatzlo[.]xyz, hxxps://huuuuuuuaaaaahhh[.]com, hxxps://pirates10[.]xyz, hxxps://tryykk[.]xyz

Listado de aplicaciones objetivo detectadas

cl.santander.app.empresascom.mtb.mbanking.sc.retail.prod
co.bitx.android.walletcom.mycelium.wallet
com.airbnb.android com.myetherwallet.mewwallet
com.akbank.android.apps.akbank_direktcom.navyfederal.android
com.albarakaappcom.nearform.ptsb
com.alibaba.aliexpresshdcom.netflix.mediaclient
com.ally.MobileBankingcom.paypal.android.p2pmobile
com.amazon.mShop.android.shoppingcom.plunien.poloniex
com.ambank.ambankonlinecom.Plus500
com.americanexpress.android.acctsvcs.uscom.pnc.ecommerce.mobile
com.aol.mobile.aolappcom.polehin.android
com.att.myWirelesscom.pozitron.iscep
com.bancocajasocial.geolocationcom.pttfinans
com.bankia.walletcom.rbs.mobile.android.natwest
com.bankinter.launchercom.rbs.mobile.android.rbs
com.barclaycarduscom.rsi
com.bbt.myficom.rsi.Colonya
com.bbva.bbvacontigocom.schwab.mobile
com.bbva.netcashcom.skype.m2
com.binance.devcom.spotify.music
com.bitcoin.mwalletcom.starfinanz.smob.android.sfinanzstatus
com.bitfinex.mobileapp com.suntrust.mobilebanking
com.Bither.onecom.targo_prod.bad
com.bitmarket.tradercom.targoes_prod.bad
com.bmoharris.digitalcom.tdbank
com.bookingcom.teb
com.botw.mobilebankingcom.thanksmister.bitcoin.localtrader
com.breadwalletcom.tinder
com.btcturkcom.tmobtech.halkbank
com.btcturk.procom.ubercab
com.cajaingenieros.android.bancamovilcom.ubercab.eats
com.cimbmalaysiacom.uphold.wallet
com.citi.citimobilecom.usaa.mobile.android.usaa
com.citibanamex.banamexmobilecom.vakifbank.mobile
com.citibank.CitibankMYcom.wf.wellsfargomobile
com.citizensbank.androidappcom.whatsapp
com.clairmail.fthcom.woodforest
com.coinbase.androidom.yahoo.mobile.client.android.mail
com.compasssavingsbank.mobilecom.ykb.android
com.connectivityapps.hotmailcom.yoox
com.cooperativebank.bankcom.zellepay.zelle
com.db.mm.norisbankcom.ziraat.ziraatmobil
com.db.pwcc.dbmobilede.comdirect.android
com.denizbank.mobildenizde.commerzbanking.mobil
com.discoverfinancial.mobilede.dkb.portalapp
com.ebay.mobilede.fiducia.smartphone.android.banking.vr
com.electroneum.mobilede.ingdiba.bankingapp
com.engage.pbb.pbengage2my.releasede.postbank.finanzassistent
com.etrade.mobilepro.activityde.sdvrz.ihb.mobile.app
com.facebook.katanaes.bancosantander.apps
com.fibabanka.Fibabanka.mobilees.caixagalicia.activamovil
com.finansbank.mobile.cepsubees.caixaontinyent.caixaontinyentapp
com.garanti.cepsubesies.cecabank.ealia2103appstore
com.google.android.gmes.cm.android
com.google.android.youtubees.lacaixa.mobile.android.newwapicon
com.grppl.android.shell.BOSes.liberbank.cajasturapp
com.grppl.android.shell.CMBlloydsTSB73es.openbank.mobile
com.grppl.android.shell.halifaxes.univia.unicajamovil
com.grupoavalav1.bancamovileu.unicreditgroup.hvbapptan
com.hittechsexpertlimited.hitbtcfinansbank.enpara
com.indra.itecban.triodosbank.mobile.bankiio.cex.app.prod
com.infonow.bofamobile.santander.de
com.ingbanktr.ingmobilmy.com.hsbc.hsbcmalaysia
com.key.androidmy.com.maybank2u.m2umobile
com.konylabs.capitalonenet.bitstamp.app
com.konylabs.HongLeongConnectom.instagram.android
com.kraken.tradeorg.electrum.electrum
com.kutxabank.androidorg.ncsecu.mobile
com.kuveytturk.mobilpiuk.blockchain.android
com.liberty.jaxxtr.com.hsbc.hsbcturkey
com.linkedin.androidtr.com.sekerbilisim.mbank
com.magiclick.odeabanktr.gov.turkiye.edevlet.kapisi
com.mail.mobile.android.mailtsb.mobilebanking
com.match.android.matchmobile.asiapacuk.co.hsbc.hsbcukmobilebanking
com.mcom.firstcitizensuk.co.mbna.cardservices.android
com.mediolanumuk.co.metrobankonline.mobile.android.production
com.mfoundry.mb.android.mb_136uk.co.santander.santanderUK
com.mobillium.paparauk.co.tescomobile.android
com.moneybookers.skrillpayments.netellerus.zoom.videomeetings
com.morganstanley.clientmobile.prodwww.ingdirect.nativeframe

Innovación continua para luchar contra Hydra

La innovación continua de nuestro equipo nos permite aplicar novedosas tecnologías para dar respuesta a los nuevos retos que surgen cada día y que suponen las sofisticadas técnicas de fraude actuales. Tras más de una década dedicados al sector financiero, en BOTECH aplicamos nuestra dilatada experiencia para proteger a nuestros clientes con las últimas innovaciones implementadas dentro y fuera de nuestra organización ¿Hablamos?

Un post de Aitor Echavarri, Analista de Malware en BOTECH

Leave Comment