jueves, 1 de junio de 2017

Android: BankBot.

Hace un tiempo se filtro el fuente de un Bankbot para android y se masifico bastante, creo que muchos lo han lanzado para probar sus virtudes.
Este caso que traigo apareció hace un mes aproximadamente, el sitio de comando y control todavia sigue activo pero sin victimas.
Se decía que esta versión afectaba a bancos de Argentina por lo que decidí echarle una mirada.



https://www.virustotal.com/en/file/1584174767c12ec6896a7cda9ca0656205e2bece916445b2d6e145fb0ae3cb06/analysis/


Probamos instalarlo en un emulador de Android, se puede ver claramente los permisos que solicita.



Aquí solicita permiso de ROOT 


 Sitio de C2 al cual reporta enviando datos codificados.


Analisis del C2 en VT,


Aquí podemos observar los mensajes que son enviados al LOGCAT




Revisamos el malware con dex2jar-2.0, lo decompilamos, con esto pude observar el listado de app bancarias que son monitoreadas por el malware para luego presentar falsos formularios y capturar las claves bancarias, por otro lado también tiene la potestad de interferir los SMS por lo que podría obtener los tokens de seguridad o avisos que envié el banco afectado hacia la victima.



 Log.d("INVISIBLE-LOG", "SEARCH BANK CLIENT'S");
      if (((ApplicationInfo)localObject2).packageName.equals("ru.sberbankmobile"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.sberbank_sbbol"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.alfabank.mobile.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.alfabank.oavdo.amc"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.mw"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.raiffeisennews"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.idamob.tinkoff.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.paypal.android.p2pmobile"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.webmoney.my"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.rosbank.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.vtb24.mobilebanking.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.simpls.mbrd.ui"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.yandex.money"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.com.cs.ifobs.mobile.android.sbrf"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.privatbank.ap24"))
      if (((ApplicationInfo)localObject2).packageName.equals("ru.simpls.brs2.mobbank"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.ubanksu"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.alseda.ideabank"))
      if (((ApplicationInfo)localObject2).packageName.equals("pl.pkobp.iko"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.bank.sms"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.com.cs.ifobs.mobile.android.otp"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.vtb.client.android"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.oschadbank.online"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.trinetix.platinum"))
      if (((ApplicationInfo)localObject2).packageName.equals("hr.asseco.android.jimba.mUCI.ua"))
      if (((ApplicationInfo)localObject2).packageName.equals("ua.pentegy.avalbank.production"))
      if (((ApplicationInfo)localObject2).packageName.equals("com.ukrgazbank.UGBCardM"))
      if (!

((ApplicationInfo)localObject2).packageName.equals("com.coformatique.starmobile.android"))

|SberB_RU|
|AlfaB_RU|
|QIWI|
|R-CONNECT|
|Tinkoff|
|paypal|
|webmoney|
|RosBank|
|MTS BANK|
|VTB24|
|Yandex Bank|
|SberB_UA|
|Privat24|
|RussStandart|
|UBank|
|Idea_Bank|
|Iko_Bank|
|Bank_SMS|
|OTP Smart|
|VTB_ua|
|OschadBank|
|PlatinumBank|
|UniCreditBank|
|aval_bank_ua|
|UKRGASBANK|
|UKRSIBBANK| 


Instale en el emulador infectado la app de una entidad de rusia (SberB_RU) y aunque parezca mentira, esta app detecto en el dispositivo el malware.



Por otro lado empezamos a probar el sitio de C2 a ver si podemos obtener algo mas. Y pude observar que existen formularios que no están securizados por lo que es posible accederlos y obtener mas información :D


En el momento de accederlo solo había un IMEI.



Aquí podemos ver que mi sistema infectado y su reporte al Comando y control.




En Bank se puede observar que el malware detecto que tenemos instalado la app del SeberB y Paypal.



Panel de login del C2



Recomendación, revisar los permisos de las app antes de instalarlas, no tomar mucho en cuenta la puntuaciones positivas de las app debido a que muchos de estos puntos positivos pueden ser falsos, u obtenidos mediante el bombardeo de propagandas y mensaje agresivos contra los usuarios. Por ultimo contar con un antivirus en el terminal.



Es todo por el momento @Dkavalanche 2017


viernes, 28 de abril de 2017

Falsa Factura electrónica de Telefónica Arg. Descarga Troyano (Darktrack Alien RAT)


Me llamo mucho la atención el aviso de Raúl en su twitter, por lo que pasamos a verlo.

El correo phishing, es una copia a la factura digital de Telefónica Argentina, con el link de descarga que apunta a un documento .DOC alojado en Dropbox.


Una vez abierto el documento nos indica que debemos habilitar el contenido para que se ejecute la macro auto-open

La macro, abre una imagen falsa y ejecuta un .vbs en el %appdata%/temp y termina ejecutando un .exe que esta hardcodeado en el vbs.





Este ejecutable descomprime dos amenazas.
Aquí vemos la persistencia en el sistema


https://www.virustotal.com/es/file/68dfe14103ffa2befb39d8bda4bd65e09eff90de6b2c203e6ba5a7810053c089/analysis/1491585453/
https://www.virustotal.com/es/file/d4ba451fae6310e27806d10e5835f08263a8c5f0308fa1eaa151870a1c3f154a/analysis/1491585564/

La amenaza se inyecta en un proceso Notepad.exe



Strings interesantes




080IAM010010DAR8K89TR3SDTACK
4.1 Alien+
Local User
123456
127.0.0.1
notepad.exe
SYSTEMROOT
WINDIR
APPDATA
ZYYd
(D@
TClientSocket

Todo indicaría que se trata del siguiente RAT

www[.]nulled[.]to[/]topic[/]186564-darktrack-41-alien-legit-verion-remote-admin-tool/



 Comunicación con el C&C 





Esta amenaza se utiliza para controlar la pc de la victima, es posible subir y ejecutar otras amenaza como ser Ransomware.



Muestras: https://www.dropbox.com/s/9wyu52hn2itmqb9/malw%20-07-04-17-telefonica.7z?dl=0



Es todo por el momento @Dkavalanche 2017







viernes, 31 de marzo de 2017

Troyano Brasileño: Afecta a varias entidades Bancarias del Brasil.

La amenaza llega bajo el siguiente spear phishing.

Asunto: Seu CPF/CNPJ Sera incluso no SPC/SERASA, Por falta de Pagamento. Protc.:2017-30656


El link nos descarga un ZIP con un ejecutable.







Icono de la aplicación,



Analisis del dropper.

Strings interesantes, podemos ver de donde se descarga el payload, y su pésimo método de ofuscación.


Proteccion básica anti-debugging



 Llamada a la función para la descarga del payload.



Aquí se puede ver el url del malware (lo habíamos visto antes en la parte de los strings que estaban muy mal ofuscados)
La extension del archivo es zip, pero no lo es, esta codificado, el downloader se encarga de decodificarlo en un .exe y ejecutarlo con ShellExecuteA


 Ubicación en el sistema del archivo para luego ejecutarlo.










Llamada al c&c para reportar la infección.




Analisis del Payload

Como vemos el archivo es un poco extenso 114 Mb





https://virustotal.com/es/file/63e335b50467c00bd6dec465f3c5de4c6d5c427a593247a38709d6588cb50a5a/analysis/1490982253/


 Persistencia en el sistema






Existen cadenas codificadas

 006833E8 '345AFA2ECD75DC3F9732A0'
 00683408 '45'
 00683414 '32AF24DA13B618BE1BB226B31EC60E389EF417BE1BC4001AC3035C'
 00683454 '46'
 00683460 'BB18B56599FE'
 00683478 '47'
 00683484 'E86EEB1CD672E266E072DC65F2256783D37AA7ED659F3953FF47'
 006834C4 '48'
 006834D0 '6CE16F99'
 006834E4 '070D49E90B494F89D774'
 00683504 '49'
 00683510 '4984C16085DD68FD54BA26BE15CDCF76EF5C'
 00683540 '50'
 0068354C '83DD7297A922AE2AA3329E3F938084FD011731AD28D0CA0D3899'


Podemos decodificarlas poniendo un BP en la dirección de memoria donde finaliza la rutina de desencripción y verificar el valor devuelto en EDX




Nota: La rutina de codificación y decodificación fue explicada en otras entregas del blog.
























 Aqui parte de las cadenas ofuscadas y el resultado de su decodificación.

07C040B8  37 41 38 34 43 45 37 34  7A84CE74
07C040C0  38 42 43 37 30 33 35 32  8BC70352
07C040C8  46 38 32 31 35 36 38 46  F821568F
07C040D0  33 43 31 39 36 41 41 41  3C196AAA
07C040D8  32 46 39 39 42 34 31 30  2F99B410
07C040E0  42 37 39 43 46 30 30 37  B79CF007
07C040E8  33 33 41 31 33 30 44 46  33A130DF
07C040F0  31 42 34 42 38 45 39 38  1B4B8E98
07C040F8  44 33 30 43 42 34 45 43  D30CB4EC
07C04100  30 34 34 39 38 44 33 34  04498D34
07C04108  41 31 34 30 46 39 31 37  A140F917

07C06F2C  42 72 61 64 65 73 63 6F  Bradesco
07C06F34  20 4E 65 74 20 45 78 70   Net Exp
07C06F3C  72 65 73 73 20 28 42 72  ress (Br
07C06F44  61 64 65 73 63 6F 20 4E  adesco N
07C06F4C  65 74 20 45 78 70 72 65  et Expre
07C06F54  73 73 29                 ss)


07C0ADD4  39 45 43 39 31 37 43 44  9EC917CD
07C0ADDC  37 43 44 38 30 32 31 36  7CD80216
07C0ADE4  36 32 45 32 36 41 46 42  62E26AFB
07C0ADEC  35 36 46 41 36 38 39 45  56FA689E

07C0A060  53 65 72 61 73 61 20 45  Serasa E
07C0A068  78 70 65 72 69 61 6E 00  xperian.
07C0A070  22 00 00 00 01 00 00 00  "... ...
07C0A078  11 00 00 00 42 61 6E 63   ...Banc
07C0A080  6F 20 64 6F 20 4E 6F 72  o do Nor
07C0A088  64 65 73 74 65           deste


07C0A0F8  74 72 61 6E 73 66 65 72  transfer
07C0A100  65 6E 63 69 61 73 00     encias.



07C0A444  44 30 31 46 42 43 36 42  D01FBC6B
07C0A44C  38 37 44 41 37 43 45 42  87DA7CEB
07C0A454  37 34 44 41 30 36 34 31  74DA0641
07C0A45C  35 39 38 39 43 43 37 31  5989CC71
07C0A464  44 32 38 32 32 43 41 33  D2822CA3
07C0A46C  46 37 31 37 34 38 35 43  F717485C
07C0A474  38 35 44 46 37 31 41 43  85DF71AC
07C0A47C  35 37 38 44 43 46 38 31  578DCF81
07C0A484  44 37                    D7

07C03C98  42 61 6E 63 6F 20 64 65  Banco de
07C03CA0  20 42 72 61 73 ED 6C 69   Brasíli
07C03CA8  61 00                    a.

07C03CD8  5B 62 62 2E 63 6F 6D 2E  [bb.com.
07C03CE0  62 72 5D 00              br].

07C061C0  43 36 30 36 34 35 46 38  C60645F8
07C061C8  37 34 45 31 37 43 39 45  74E17C9E
07C061D0  33 42 39 32 33 39 35 33  3B923953
07C061D8  38 44 34 35 00           8D45.

07C09A5C  77 77 77 2E 62 62 2E 63  www.bb.c
07C09A64  6F 6D 2E 62 72           om.br


07C03CF0  37 42 45 35 37 46 41 39  7BE57FA9
07C03CF8  35 45 46 41 36 35 45 33  5EFA65E3
07C03D00  37 43 44 37 37 38 44 30  7CD778D0
07C03D08  43 36 36 46 45 41 31 30  C66FEA10

07C03D20  62 61 6E 63 6F 62 72 61  bancobra
07C03D28  73 69 6C 2E 63 6F 6D 00  sil.com.

07C0A004  39 36 44 34 30 32 33 30  96D40230
07C0A00C  43 41 30 36 35 37 38 45  CA06578E
07C0A014  44 36 43 45 32 38 35 45  D6CE285E

07C0591C  56 65 72 69 66 69 63 61  Verifica
07C05924  20 42 42 00               BB.

07C0A02C  43 37 33 32 41 42 35 45  C732AB5E
07C0A034  39 32 33 35 36 44 45 35  92356DE5
07C0A03C  36 43 42 34 43 46 37 36  6CB4CF76
07C0A044  45 46 32 36 42 42 36 30  EF26BB60

07C0586C  42 61 6E 63 6F 20 64 6F  Banco do
07C05874  20 42 72 61 73 69 6C 00   Brasil.

07C05888  44 42 37 43 43 38 37 39  DB7CC879
07C05890  42 41 31 39 36 42 41 45  BA196BAE
07C05898  45 34 36 34 45 32 36 45  E464E26E
07C058A0  39 38 38 33 44 31 37 42  9883D17B
07C058A8  44 44 37 39 41 32 33 44  DD79A23D
07C058B0  39 42 42 37 31 46 42 43  9BB71FBC
07C058B8  36 33 00                 63.

07C093C0  68 74 74 70 73 3A 2F 2F  https://
07C093C8  77 77 77 32 2E 62 61 6E  www2.ban
07C093D0  63 6F 62 72 61 73 69 6C  cobrasil

07C03CB8  35 32 41 43 33 36 45 30  52AC36E0
07C03CC0  31 35 42 46 30 43 34 35  15BF0C45
07C03CC8  38 31                    81

07C093E8  42 61 6E 65 73 74 65 73  Banestes

07C061EC  32 43 35 37 46 38 32 39  2C57F829
07C061F4  43 31 31 33 34 43 38 45  C1134C8E
07C061FC  43 30                    C0

07C058C8  43 69 74 69 62 61 6E 6B  Citibank

07C058E0  37 36 39 31 46 39 35 45  7691F95E
07C058E8  39 35 33 32 39 43 43 39  95329CC9
07C058F0  30 34 00 00 1E 00 00 00  04

07C05900  33 30 20 68 6F 72 61 73  30 horas

07C09448  43 31 33 43 39 36 42 33  C13C96B3
07C09450  34 42 38 37 43 32 31 32  4B87C212
07C09458  42 38                    B8

07C0A32C  42 72 61 64 65 73 63 6F  Bradesco

07C0A2D4  41 46 43 35 31 46 44 31  AFC51FD1
07C0A2DC  36 34 46 43 36 36 46 45  64FC66FE
07C0A2E4  35 37 46 31 32 42 34 34  57F12B44
07C0A2EC  38 34 41 32 33 42 46 38  84A23BF8
07C0A2F4  35 38 46 39 33 41 39 31  58F93A91

07C0A29C  4E 61 76 65 67 61 64 6F  Navegado
07C0A2A4  72 20 45 78 63 6C 75 73  r Exclus
07C0A2AC  69 76 6F 00              ivo.

07BFF438  42 38 31 41 42 30 36 31  B81AB061
07BFF440  39 35 33 46 39 35 43 45  953F95CE
07BFF448  37 41 45 34 37 46 44 39  7AE47FD9
07BFF450  37 44 41 33 32 36 43 35  7DA326C5
07BFF458  31 44 34 36 45 35 36 36  1D46E566
07BFF460  46 33 00                 F3.

07C0B0D0  69 6E 74 65 72 6E 65 74  internet
07C0B0D8  62 61 6E 6B 69 6E 67 63  bankingc
07C0B0E0  61 69 78 61 00           aixa.

07BFF470  44 33 31 46 42 38 36 33  D31FB863
07BFF478  38 34 44 32 37 39 45 39  84D279E9
07BFF480  37 36 44 30              76D0

07C0B130  53 61 6E 74 61 6E 64 65  Santande
07C0B138  72 00 00                 r.


07C0A004     41 38 34 43 45 37 34   A84CE74
07C0A00C  38 42 43 37 30 33 35 32  8BC70352
07C0A014  46 38 32 31 35 36 38 46  F821568F
07C0A01C  33 43 31 39 36 41 41 41  3C196AAA
07C0A024  32 46 39 39 42 34 31 30  2F99B410
07C0A02C  42 37 39 43 46 30 30 37  B79CF007
07C0A034  33 33 41 31 33 30 44 46  33A130DF
07C0A03C  31 42 34 42 38 45 39 38  1B4B8E98
07C0A044  44 33 30 43 42 34 45 43  D30CB4EC
07C0A04C  30 34 34 39 38 44 33 34  04498D34
07C0A054  41 31 34 30 46 39 31 37  A140F917

07C03C98  42 72 61 64 65 73 63 6F  Bradesco
07C03CA0  20 4E 65 74 20 45 78 70   Net Exp
07C03CA8  72 65 73 73 20 28 42 72  ress (Br
07C03CB0  61 64 65 73 63 6F 20 4E  adesco N
07C03CB8  65 74 20 45 78 70 72 65  et Expre
07C03CC0  73 73 29 00              ss).


07C06208  62 61 6E 63 6F 62 72 61  bancobra
07C06210  73 69 6C 2E 63 6F 6D 00  sil.com.

07C0A28C  41 70 6C 69 63 61 74 69  Aplicati
07C0A294  76 6F 20 42 72 61 64 65  vo Brade
07C0A29C  73 63 6F 00              sco.



El malware corresponde a un screen Overlay, este monitorea el url que se esta visitando, y de acuerdo a las cadenas expuestas mas arriba, se despliegan falsos formularios en los cuales la victima ingresa las claves.





Muestra: https://www.dropbox.com/s/3csafx6c0h46pc1/banload-27-03-17.rar?dl=0


Es todo por el momento @Dkavalanche 2017

Android: BankBot. Hace un tiempo se filtro el fuente de un Bankbo t para android y se masifico bastante, creo que muchos lo han lanzado pa...