En este trimestre se ha visto mucho, como todos los usuarios se han trasladado al E-Commerce para efectuar todo tipo de transacciones y compras on-line. Muchas de estas asociadas a compras desde comercios internacionales con pagos a través de diferentes plataformas. El comercio electrónico sin duda ha crecido porcentualmente durante esta pandemia, así lo señala (larepublica.co/globoeconomia/el-e-commerce-en-latinoamerica-aumento-66-durante-2020-y-llego-a-us66765-millones-3145702) en donde se indica que para la latinoamérica este mercado se incrementó en la economia de 66.675 millones de dolares. Una cifra muy positiva para el sector “retailers” y otros esquemas de la economía. Dado este panorama es muy importante señalar que no es menos importante observar cómo algunas organizaciones delincuenciales se han aprovechado de esta dinámica en particular para poder hacer de las suyas. En principio para poder afectar alguna parte de este eslabón cuidadoso de “click and connect” y posteriormente a la entrega de un producto que hayamos comprado en algún comercio en particular.
Esta situación nos obliga a algunos investigadores de #Ciberseguridad, poder realizar un análisis juicioso para determinar en qué punto de esta cadena, los ciberdelincuentes se están aprovechando de los usuarios o clientes en línea. Un factor que se ha observado es la entrega del dichoso producto adquirido. Este último, permite que empresas a nivel internacional puedan ser víctimas de suplantación o infección de teléfonos móviles, a través de plataformas creadas por los ciberatacantes para simular el “rastrero de un paquete” o encomienda solicitada desde el exterior.
Una de estas modalidades más recientes y que ha causado varios antecedentes entre los investigadores de #malware a nivel global, ha sido la descarga de aplicaciones falsas, haciéndose pasar por empresas de mensajería que llevan consigo los servicios de rastreo de paquetes hasta su último lugar de destino.
Una vez el usuario realiza la descarga de la aplicación, se instala en su teléfono un troyano de tipo bancario.
Ejemplo envío mensaje de texto: DHL
Figura recuperada de https://blogs.protegerse.com/
Una vez el usuario realiza la ejecución del link, este lo conduce a la descarga de la aplicación o en su defecto redireccionarlo a una página en internet para la captura de “cookies” o información que almacenan datos del usuario en los diferentes navegadores.
Extracción de la información del cliente:
La fase de extracción de información radica en poder ejecutar en el teléfono acciones para poder capturar información (confidencial y privada del usuario, por ejemplo datos financieros o bancarios).
Detección de herramientas de seguridad:
Actualmente la amenaza sigue siendo muy poco detectada por algunos antivirus y sistemas de defensa, ej:
Virustotal: Búsqueda Indicadores de Compromiso.
Algunos antivirus detectan la amenaza como maliciosa, sin embargo muchas de las muestras son variantes relacionadas entre sí con otro tipo de amenazas, ejemplo #FluBot o #FluBut, cuya responsabilidad detrás de los dominios de tracking está asociado a los siguientes enlaces de descarga:
Links de descarga del troyano.
Algunas de las particularidades de este troyano es que permite el acceso a la siguiente información dentro del telefóno:
Figura recuperada de https://blogs.protegerse.com/
Uno de los permisos más específicos, es tener el acceso a todos los paquetes de consulta que se realice desde el celular, hasta poder llegar a determinar las aplicaciones financieras que posea el cliente o el usuario.
Relación con otras amenazas:
#FluBot, como se denomina esta Botnet puede utilizar como elemento fachada el envío de mensajes de texto tipo SMS como lo hemos visto anteriormente; del mismo modo poder utilizar el esquema de #Phishing y #SpearPhishing dirigido al usuario para poder instalarse en el teléfono.
Así mismo, esta Botnet que alcanza la infección de cerca 60.000 mil dispositivos en Europa, también puede llegar a Latam si no se llega a adelantar actividades relacionadas con su análisis, mitigación y contención.
Otros análisis relacionados:
En la actualidad otros investigadores han hecho verificaciones del alcance y la criticidad de esta amenaza, https://medium.com/csis-techblog/the-brief-glory-of-cabassous-flubot-a-private-android-banking-botnet-bc2ed7917027, la cual permite suplantar también aplicaciones de tipo financiero (Dic 2020).
Actores criminales detrás de la amenaza:
En Barcelona, los mossos de escuadra ejecutaron una operación que permitió en los primeros días de este mes, que fueran capturadas dos personas al parecer involucradas detrás de la creación o masificación de esta #Botnet, y su propagación cada vez se vuelve un nuevo reto para las autoridades.https://therecord.media/flubot-malware-gang-arrested-in-barcelona/
Imagen de la propagación en Europa.
Recuperado de https://medium.com/csis-techblog/the-brief-glory-of-cabassous-flubot-a-private-android-banking-botnet-bc2ed7917027
Persistencia y evasión:
Muchas particularidades de #Fulbot están orientadas en cambiar los DNS de conexión, frente a las cadenas de configuración del sistema, puede también ser coordinado desde el C2 del grupo delincuencial con facilidad, a partir de la configuración de la zona horaria del teléfono y alterar los elementos de conexión remota con los cibercriminales. Una de sus versiones más particulares, Cabassous en particular ha sido desarrollado con esas características.
Mitigación y contención:
Otros investigadores y desarrolladores han involucrado mecanismos que permiten eliminar la aplicación maliciosa del dispositivo, cuando este se encuentre infectado, lo cual permite tomar acciones directas sobre el dispositivo. https://forum.xda-developers.com/m/linuxct.4787101/
Esta mitigación permite desinstalar la infección por medio del mensaje SMS FEDEX y DHL https://github.com/linuxct/malninstall.
Recomendaciones:
Es importante siempre acceder a las aplicaciones de rastreo originadas desde el sitio web oficial de las páginas de rastreo de paquetes y encomiendas.
https://www.dhl.com/co-es/home.html https://www.fedex.com/es-co/home.html?cmp=KNC-1004736-115-6-953-1000000-LAC-CO-ES-CORGPUREBRANDEM&gclid=Cj0KCQjw9YWDBhDyARIsADt6sGbtYmbwICXsj-jdNThLKgF5KIqYLvJgdiXj8vs1GHjNosl4QmPLSGkaAuDUEALw_wcB&gclsrc=aw.ds
Siempre observar con detenimiento las URL´s que llegan vía mensaje de texto y colocarlas en sitios de verificación, como: Phishcheck o Netcraft para determinar su origen.
Nunca permitir cambios en los dispositivos celulares, ante de reconocer los factores de autenticidad de citadas aplicaciones.
Comments