El malware MazarBOT parece destinado a poner en peligro a la banca en línea, utilizando Tor y SMS para su propagación.
La industria de los hackers no descansa: un nuevo programa de malware para Android que había sido anunciado en foros clandestinos rusos en los últimos meses parece haber hecho su debut. Y por la puerta grande.
MazarBOT es el nombre de este malware que puede tomar el control total de un teléfono.
“Parece estar dirigido a los clientes de banca en línea. Hasta ahora, MazarBOT se ha anunciado para la venta en varios sitios en la darknet, pero esta es la primera vez que hemos visto el código desplegado en ataques activos”, escribió Peter Kruse, un experto en seguridad de TI y fundador de CSIS Security Group , con sede en Copenhague, empresa que hace investigaciones profundas sobre la delincuencia en línea para compañías de servicios financieros.
Kruse escribió en un reporte de su empresa que CSIS logró ver un “enjambre” de mensajes SMS enviados el viernes a números de teléfono al azar en Dinamarca, con mensajes que contenían un enlace a un archivo de paquete de Android: el MazarBOT .
Use teléfonos rusos
Sin embargo, la primera defensa contra este malware es que el MazarBOT detendrá su auto-instalación si detecta que el dispositivo Android en el que se está ejecutando se encuentra dentro de Rusia… tal vez para evitar llamar la atención de las autoridades del país.
“CSIS no se sorprendió al observar que el malware no se puede instalar en los smartphones situados en Rusia“, escribió Kruse, aunque no explicó el por qué le resultó tan obvio.
Ahora bien, si los teléfonos superan la verificación de laa ubicación, MazarBOT instala Tor, abreviatura de The Onion Router .
Tor es una red de nodos distribuidos que proporcionan una mayor privacidad mediante el cifrado de tráfico de navegación de una persona y de enrutamiento del tráfico a través de servidores proxy al azar.
El malware envía un SMS diciendo “Gracias”, junto con la ubicación del dispositivo a un número de teléfono con código-país de Irán.
MazarBOT puede ejercer un gran control sobre un teléfono. Se puede abrir una puerta trasera para controlar un dispositivo, enviar mensajes SMS a números de tarificación adicional y leer códigos de autenticación de dos factores que se envían por SMS. El malware también tiene una función de depuración remota, según escribió Kruse escribió permite una variedad de ataques avanzados en el red que utiliza un dispositivo Android en particular.
“MazarBOT es un malware para Android bastante bonito, avanzado y desagradable. Hay varios factores que indican que fue diseñado como el malware que ataca principalmente a clientes de banca en línea. De hecho, lo que lo hace más exitoso es su capacidad de eludir la mayoría de soluciones de protección de la banca en línea”, precisó Kruse.