Analistas de seguridad han identificado dos nuevas familias de malware para Android: BankBot-YNRK y DeliveryRAT . Estas herramientas están diseñadas con alta sofisticación para robar credenciales bancarias, datos de carteras de criptomonedas y controlar remotamente dispositivos comprometidos.
BankBot-YNRK y DeliveryRAT: La Evolución de la Amenaza Móvil
La amenaza combina el robo financiero con el control total del dispositivo, facilitado por el modelo Malware-as-a-Service (MaaS).
- BankBot-YNRK (Evasión y Persistencia)
- Distribución: Se distribuye mediante APKs que imitan aplicaciones legítimas (ej., “IdentitasKependudukanDigital.apk”).
- Evasión: Verifica si el dispositivo es real (no emulado) y examina la marca/modelo (Oppo, Samsung, etc.) antes de ejecutar la carga útil.
- Control Silencioso: Suprime el volumen de música, timbre y notificaciones para evitar que el usuario detecte actividad sospechosa.
- Toma de Control: Solicita servicios de accesibilidad para tomar control, desplegar sobreposición de interfaz ( overlay attack ), robar datos de apps de banca y 62 apps financieras y de criptomonedas específicas.
- Persistencia: Integra persistencia mediante el uso de JobScheduler para reiniciarse tras reiniciar.
- DeliveryRAT(MaaS y ataque DDoS)
- Modelo de Negocio: Se ofrece como servicio malicioso ( MaaS ) a través de un bot de Telegram (“Bonvi Team”), facilitando a actores con pocas habilidades la adquisición del malware.
- Engaño: Se disfraza como apps de seguimiento de entregas, empleo remoto o compras falsas (dirigido inicialmente a usuarios rusos).
- Funcionalidades: Una vez instalado, oculta su icono, accede a SMS y registros de llamadas, y algunas variantes incluyen la capacidad de lanzar ataques DDoS desde los dispositivos infectados.
Implicaciones Críticas
- Amenaza Financiera Alta: La combinación de robo de credenciales bancarias + carteras de criptomonedas (62 apps específicas) + control remoto del dispositivo representa una alta amenaza financiera para individuos y empresas.
- Bypass de Detección: El uso de técnicas de evasión (detección de emulador , supresión de alertas) incrementa la dificultad para detectarlos y mitigarlos con soluciones de seguridad móviles tradicionales.
- Base de Riesgo Ampliada: El modelo MaaS democratiza el acceso a estas herramientas sofisticadas, ampliando la base de atacantes potenciales.
Recomendaciones
Para Usuarios Finales y Empleados
- Fuentes Oficiales: Instalar aplicaciones solo desde fuentes oficiales (Google Play) y verificar el autor/desarrollador antes de la descarga.
- Permisos Restringidos: No concede permisos de accesibilidad, administrador del dispositivo o instalación desde orígenes desconocidos a aplicaciones que no sean indispensables.
- Actualización y Monitoreo: Mantener el sistema Android actualizado (idealmente Android 14 o superior). Revisar notificaciones, cambios en el volumen, o iconos ocultos como indicios de infección.
Para Equipos de Seguridad y Empresas
- Política de MDM: Revisar y reforzar las políticas de Mobile Device Management (MDM) para restringir la instalación de APKs fuera del control, el uso de accesibilidad para aplicaciones de terceros y los permisos de administrador del dispositivo.
- Detección de Anomalías: Implementar detección de anomalías en dispositivos móviles corporativos: alertar cuando un dispositivo solicita permisos de accesibilidad o actúa como administrador del dispositivo.
- Segmentación: Para empleados que manejan criptomonedas o banca, aplicar segmentación del uso móvil (ej., un dispositivo dedicado para finanzas) o limitar el uso de apps sensibles en BYOD ( Bring Your Own Device ).
- Hunting de IOCs: Buscar activamente Indicadores de Compromiso (IOCs) detectados por los investigadores: pings a C2s comoping.ynrkone[.]topo hashes de APKs conocidos de BankBot-YNRK.
