Los creadores de malware continúan poniendo a prueba la atención de los clientes de banca en nuestro país. El uso de troyanos bancarios para cometer fraude es un negocio tan lucrativo que son muchos los que se animan a desarrollar variantes de estos.
Si bien hace mes y medio hablábamos sobre un nuevo troyano bancario llamado BlackRock, en esta ocasión el equipo de BOTECH ha detectado una nueva variante del troyano Hydra con afectación a bancos españoles.
Por si hay algún despistado que cree que nos referimos a la organización terrorista ficticia que aparece en los cómics de Marvel, Hydra es un troyano bancario de Android basado en superposición similar a los famosos Anubis o Cerberus. Aunque fue detectado por primera vez en 2018, no es hasta 2019 cuando el malware incorpora funcionalidades de troyano bancario. Se trata de un malware que en sus inicios estaba dirigido exclusivamente al sector bancario turco y a algunas aplicaciones de criptomonedas. Sin embargo, en las últimas muestras estudiadas, se ha detectado la inclusión de nuevas entidades bancarias españolas y europeas.
Al igual que el resto de troyanos bancarios de Android, éste abusa del servicio de accesibilidad para desplegar todas sus funcionalidades.
Ilustración 1: Solicitud de permisos de accesibilidad por parte del malware.
¿Qué puede hacer Hydra exactamente?
Sus principales funcionalidades son:
● Visualización de la pantalla del teléfono en tiempo real.
● Instalación remota de aplicaciones.
● Funcionalidades de RAT (Troyano de acceso remoto).
● Superposición de pantallas bancarias falsas.
● Interceptación y robo de mensajes SMS.
● Funcionalidad de Back-connect proxy.
● Imposibilidad de desinstalar la aplicación desde el apartado de aplicaciones.
Una vez instalado, y obtenidos los permisos necesarios, la aplicación maliciosa queda a la espera de que el usuario acceda a una de las aplicaciones bancarias listadas en el malware. El troyano dispone de una gran cantidad de pantallas falsas que utilizará para suplantar a la aplicación bancaria legítima y, de esta forma, obtener los datos bancarios de sus víctimas.
Ilustración 2: Ejemplo de plantillas falsas de Bankia utilizadas por Hydra.
Indicadores de compromiso (IOCs)
MD5: 42db4c94231ec77352bab35bed73aeac
SHA-256: f87b96b85f8d44ba5bf86d51bbff20a295619492d6974df7132ec3665e430221
C&C: hxxps://buchatzlo[.]xyz, hxxps://huuuuuuuaaaaahhh[.]com, hxxps://pirates10[.]xyz, hxxps://tryykk[.]xyz
MD5: 569cedfa36e6985ba5251616a3dda09f
SHA-256: b92cc1f0b88d4621384a15f8ff0e590d87c0699a98643a8a7f1d66a2e30e3c7f
C&C: hxxps://buchatzlo[.]xyz, hxxps://huuuuuuuaaaaahhh[.]com, hxxps://pirates10[.]xyz, hxxps://tryykk[.]xyz
Listado de aplicaciones objetivo detectadas
| cl.santander.app.empresas | com.mtb.mbanking.sc.retail.prod |
| co.bitx.android.wallet | com.mycelium.wallet |
| com.airbnb.android | com.myetherwallet.mewwallet |
| com.akbank.android.apps.akbank_direkt | com.navyfederal.android |
| com.albarakaapp | com.nearform.ptsb |
| com.alibaba.aliexpresshd | com.netflix.mediaclient |
| com.ally.MobileBanking | com.paypal.android.p2pmobile |
| com.amazon.mShop.android.shopping | com.plunien.poloniex |
| com.ambank.ambankonline | com.Plus500 |
| com.americanexpress.android.acctsvcs.us | com.pnc.ecommerce.mobile |
| com.aol.mobile.aolapp | com.polehin.android |
| com.att.myWireless | com.pozitron.iscep |
| com.bancocajasocial.geolocation | com.pttfinans |
| com.bankia.wallet | com.rbs.mobile.android.natwest |
| com.bankinter.launcher | com.rbs.mobile.android.rbs |
| com.barclaycardus | com.rsi |
| com.bbt.myfi | com.rsi.Colonya |
| com.bbva.bbvacontigo | com.schwab.mobile |
| com.bbva.netcash | com.skype.m2 |
| com.binance.dev | com.spotify.music |
| com.bitcoin.mwallet | com.starfinanz.smob.android.sfinanzstatus |
| com.bitfinex.mobileapp | com.suntrust.mobilebanking |
| com.Bither.one | com.targo_prod.bad |
| com.bitmarket.trader | com.targoes_prod.bad |
| com.bmoharris.digital | com.tdbank |
| com.booking | com.teb |
| com.botw.mobilebanking | com.thanksmister.bitcoin.localtrader |
| com.breadwallet | com.tinder |
| com.btcturk | com.tmobtech.halkbank |
| com.btcturk.pro | com.ubercab |
| com.cajaingenieros.android.bancamovil | com.ubercab.eats |
| com.cimbmalaysia | com.uphold.wallet |
| com.citi.citimobile | com.usaa.mobile.android.usaa |
| com.citibanamex.banamexmobile | com.vakifbank.mobile |
| com.citibank.CitibankMY | com.wf.wellsfargomobile |
| com.citizensbank.androidapp | com.whatsapp |
| com.clairmail.fth | com.woodforest |
| com.coinbase.android | om.yahoo.mobile.client.android.mail |
| com.compasssavingsbank.mobile | com.ykb.android |
| com.connectivityapps.hotmail | com.yoox |
| com.cooperativebank.bank | com.zellepay.zelle |
| com.db.mm.norisbank | com.ziraat.ziraatmobil |
| com.db.pwcc.dbmobile | de.comdirect.android |
| com.denizbank.mobildeniz | de.commerzbanking.mobil |
| com.discoverfinancial.mobile | de.dkb.portalapp |
| com.ebay.mobile | de.fiducia.smartphone.android.banking.vr |
| com.electroneum.mobile | de.ingdiba.bankingapp |
| com.engage.pbb.pbengage2my.release | de.postbank.finanzassistent |
| com.etrade.mobilepro.activity | de.sdvrz.ihb.mobile.app |
| com.facebook.katana | es.bancosantander.apps |
| com.fibabanka.Fibabanka.mobile | es.caixagalicia.activamovil |
| com.finansbank.mobile.cepsube | es.caixaontinyent.caixaontinyentapp |
| com.garanti.cepsubesi | es.cecabank.ealia2103appstore |
| com.google.android.gm | es.cm.android |
| com.google.android.youtube | es.lacaixa.mobile.android.newwapicon |
| com.grppl.android.shell.BOS | es.liberbank.cajasturapp |
| com.grppl.android.shell.CMBlloydsTSB73 | es.openbank.mobile |
| com.grppl.android.shell.halifax | es.univia.unicajamovil |
| com.grupoavalav1.bancamovil | eu.unicreditgroup.hvbapptan |
| com.hittechsexpertlimited.hitbtc | finansbank.enpara |
| com.indra.itecban.triodosbank.mobile.banki | io.cex.app.prod |
| com.infonow.bofa | mobile.santander.de |
| com.ingbanktr.ingmobil | my.com.hsbc.hsbcmalaysia |
| com.key.android | my.com.maybank2u.m2umobile |
| com.konylabs.capitalone | net.bitstamp.app |
| com.konylabs.HongLeongConnect | om.instagram.android |
| com.kraken.trade | org.electrum.electrum |
| com.kutxabank.android | org.ncsecu.mobile |
| com.kuveytturk.mobil | piuk.blockchain.android |
| com.liberty.jaxx | tr.com.hsbc.hsbcturkey |
| com.linkedin.android | tr.com.sekerbilisim.mbank |
| com.magiclick.odeabank | tr.gov.turkiye.edevlet.kapisi |
| com.mail.mobile.android.mail | tsb.mobilebanking |
| com.match.android.matchmobile.asiapac | uk.co.hsbc.hsbcukmobilebanking |
| com.mcom.firstcitizens | uk.co.mbna.cardservices.android |
| com.mediolanum | uk.co.metrobankonline.mobile.android.production |
| com.mfoundry.mb.android.mb_136 | uk.co.santander.santanderUK |
| com.mobillium.papara | uk.co.tescomobile.android |
| com.moneybookers.skrillpayments.neteller | us.zoom.videomeetings |
| com.morganstanley.clientmobile.prod | www.ingdirect.nativeframe |
Innovación continua para luchar contra Hydra
La innovación continua de nuestro equipo nos permite aplicar novedosas tecnologías para dar respuesta a los nuevos retos que surgen cada día y que suponen las sofisticadas técnicas de fraude actuales. Tras más de una década dedicados al sector financiero, en BOTECH aplicamos nuestra dilatada experiencia para proteger a nuestros clientes con las últimas innovaciones implementadas dentro y fuera de nuestra organización ¿Hablamos?
Un post de Aitor Echavarri, Analista de Malware en BOTECH
