Codigo fuente del troyano Exobot filtrado
El código fuente de un troyano bancario Android de primera línea se ha filtrado en línea y desde entonces se ha propagado rápidamente en la comunidad de malware, preocupando a los investigadores de que una nueva ola de campañas de malware pueda estar en proceso.
El nombre de este malware es Exobot, un troyano bancario de Android que se detectó por primera vez a finales de 2016 y que sus autores abandonaron misteriosamente al poner su código fuente a la venta en enero de este año.
En las operaciones diarias, los creadores de malware venden acceso mensual o semanal a su malware en lo que los investigadores de seguridad llaman MaaS (Malware-as-a-Service) o CaaS (Cybercrime-as-a-Service).
Pero cuando un autor de malware vende el código fuente completo del malware, esto generalmente significa que el autor del malware se está moviendo a otra cosa y ya no quiere trabajar en él. Por lo general, ese código fuente se filtra en línea después de que suficientes personas lo hayan comprado.
El código fuente de Exobot se filtró en línea en mayo
Esto sucedió muchas veces en el pasado con todo tipo de cepas de malware, y también le sucedió a Exobot, ya que el mes pasado, Bleeping Computer recibió una copia de este código fuente de un desconocido.
El código resultó ser la versión 2.5 del troyano bancario Exobot, también conocido como la "Edición Trump", una de la última versión de Exobot antes de que su autor original renunciara a su desarrollo.
Los investigadores de seguridad temen que aumenten las campañas de Exobot
Los investigadores de seguridad ahora temen que la proliferación del código pueda llevar a un aumento en las campañas de malware que empujarán aplicaciones maliciosas de Android infectadas con este troyano.
Pero estas no son solo advertencias de investigadores de seguridad "temerosos". Algo como esto ha sucedido antes.
En diciembre de 2016, el código fuente del troyano bancario BankBot Android se filtró en línea y dio lugar a un estallido masivo de campañas de malware que empujaron al troyano en 2017.
La disponibilidad del código BankBot redujo la barrera de entrada y los costos financieros para los aspirantes a autores de malware para ingresar en la escena de malware de Android. Ahora, con Exobot siendo compartido de la misma manera, los investigadores de seguridad se están preparando para un aumento similar de campañas.
Exobot es muy poderoso
Cengiz Han Sahin, investigador de seguridad y portavoz de ThreatFabric , dice que Exobot es un troyano bancario bastante potente, capaz de infectar incluso teléfonos inteligentes con las últimas versiones de Android, algo que muy pocos troyanos pueden hacer.
"Todos los actores de amenazas han estado trabajando en inyecciones de tiempo (ataques superpuestos) para trabajar en Android 7, 8 e incluso 9", dice Sahin. "Sin embargo, Exobot realmente es algo nuevo.
"El troyano obtiene el nombre del paquete de la aplicación en primer plano sin requerir ningún permiso adicional", dice, "Esto todavía tiene problemas, pero funciona en la mayoría de los casos".
"La parte interesante aquí es que no se requieren permisos de Android", agrega Sahin. "Todas las demás familias de troyanos bancarios de Android están usando los permisos de Estadísticas de uso de mineral de accesibilidad para lograr el mismo objetivo y, por lo tanto, requieren la interacción del usuario con la víctima".
Así que no solo es accesible el código fuente de Exobot, sino que también es bastante efectivo, al igual que el código de BankBot era de primera línea cuando se filtró en 2016. En los próximos meses, podremos ver que los desarrolladores de malware de Android migran lentamente sus campañas de BankBot a Exobot, ya que pocas rechazarán una "actualización gratuita" a un código mejor.