FortiGuard Labs está investigando la botnet de Android BianLian luego de 4 años de su aparición en el año 2018 y es que hasta ahora, esta amenaza sigue operativa y en constante evolución por desgracia para los usuarios de Android.
El malware de Android generalmente se hace pasar por un reproductor de video, una aplicación de Google Play o una aplicación de banca móvil. Una vez instalada, pide a la víctima que active los Servicios de Accesibilidad como muchas otras amenazas hacen para que la aplicación “funcione” correctamente aunque... Esto es lo que el malware realmente necesita para superponer imágenes y validar formularios sin la interacción del usuario.
Una vez hecho esto, estas en problemas. La aplicación instalada aparentemente desaparece del teléfono inteligente, dejando a la víctima con la impresión de que no funcionó o se bloqueó pero... No te confundas ya que en realidad, el malware se ejecuta en segundo plano y contacta a un C2 para que las aplicaciones lo supervisen.
Cada vez que la víctima inicia una aplicación monitoreada por los actores de amenazas, el malware descarga HTML e imágenes actualizados para inyectar en el teléfono inteligente. Así es como los actores de amenazas obtienen las credenciales de banca móvil de sus víctimas. Es importante tener en cuenta que este malware no afecta las aplicaciones objetivo ni las explota de ninguna manera. En cambio, se inserta entre el usuario y la aplicación para interceptar las credenciales del usuario, como un ataque de intermediario.
Actualmente, la botnet también está desarrollando compatibilidad con Photo TAN, que utilizan algunos bancos. Photo TAN es un popular método de autenticación de dos factores en el que un usuario escanea una matriz que se muestra en su computadora, computadora portátil o tableta con un teléfono inteligente. De esta forma, se genera un TAN para verificar los pedidos online.