Cuidado con el malware MaliBot, se dirige a España e Italia

¡Ten mucho cuidado con este nuevo malware!

Malware MaliBot
Malware MaliBot

Los investigadores de seguridad no descansan, recientemente han descubierto un nuevo malware llamado MaliBot que se hace pasar por una aplicación de minería de criptomonedas o del navegador web Chrome para llegar a los usuarios de España e Italia.

El malware MaliBot está diseñado para robar información relacionada con la finanza de sus victimas como las cuentas de sus servicios bancarios, contraseñas de billeteras criptográficas y por que no, también esta detrás del robo de datos personales. Pero lo realmente preocupante, es que el nuevo malware descubierto para Android es capaz de robar hasta el código de autenticación de dos factores de las notificaciones.

Malware MaliBot
Malware MaliBot

Descubren que el malware MaliBot se dirige a usuarios de España e Italia

Los investigadores de seguridad F5 Labs, han mencionado que el malware MaliBot actualmente está haciendo uso de varios canales de distribución, probablemente con el objetivo de cubrir la brecha en el mercado creada con el cierre de malware Flutbot.

Por otra parte, también se ha descubierto que los servidores del malware se encuentran en Rusia y su IP se ha asociado a varias compañas de distribución de malware desde 2020.

La propagación del malware MaliBot se realiza a través de sitios web que proporcionan aplicaciones especializadas en las criptomonedas en forma de APK que los usuarios descargan e instalan de forma manual.

Por supuesto, para engañar a sus victimas, los delincuentes clonan las aplicaciones reales como TheCryptoApp, la cual cuenta con más de 1 millón de descargas en la tienda de Google. También se ha descubierto que MaliBot se hace pasar por una aplicación llamada Mining X y se encarga de engañar a las victimas para que escaneen un código QR para descargar el archivo malicioso.

Los investigadores también han descubierto que los operadores del malware MaliBot hacen uso de mensajes smishing que son phishing a través de SMS para distribuir sus cargas útiles a una lista de números de teléfonos determinados por el C2, estos mensajes se envían desde el móvil de la victima abusando del permiso de enviar SMS.

Cuáles son las capacidades de MaliBot

  • Este malware se asegura de la accesibilidad y los permisos desde su instalación, luego se va otorgando a si mismo otros derechos adicionales del dispositivo de sus victimas.
  • Puede interceptar notificaciones, SMS y llamadas, capturar capturas de pantalla, registrar actividades de arranque y brindar a sus operadores capacidades de control remoto a través de un sistema VNC.
  • VNC permite a los operadores navegar entre pantallas, desplazarse, tomar capturas de pantalla, copiar y pegar contenido, deslizar, realizar pulsaciones prolongadas y más.
  • Para eludir las protecciones de MFA, abusa de la API de accesibilidad para hacer clic en las solicitudes de confirmación de las alertas entrantes sobre intentos de inicio de sesión sospechosos, envía la OTP al C2 y la completa automáticamente.
  • Además, el malware puede robar códigos MFA de Google Authenticator y realizar esta acción a pedido, abriendo la aplicación de autenticación independientemente del usuario.

Y como la mayoría de los malware, MaliBot al instalarse, recopila la lista de aplicaciones que actualmente se encuentren instaladas en el dispositivo con el objetivo de determinar que aplicaciones bancarías utiliza la victima. Cuando la víctima abre la aplicación legítima, la pantalla de inicio de sesión falsa se superpone en la parte superior de la interfaz de usuario.

Por último, los investigadores han descubierto que el código del malware MaliBot está incompleto, por lo tanto, es una clara señal de que su desarrollo está activo, en donde sus operadores pueden introducir nuevas funciones para que se más difícil de detectar.

Por ahora, MaliBot carga superposiciones dirigidas a bancos italianos y españoles, pero pronto podría ampliar su alcance agregando más inyecciones, tal como lo hizo gradualmente FluBot.