Troyano bancario Bizarro

Se está aprovechando un nuevo y sofisticado troyano bancario Android contra usuarios de Europa y América del Sur. La amenaza se llamó Bizarro y pertenece al grupo de troyanos bancarios brasileños. En lugar de operar localmente como suele ser el caso, Bizarro se desató a nivel mundial con un mayor enfoque en los usuarios ubicados en Argentina, Chile, Alemania, Francia, Italia, España y Portugal.

El objetivo del actor de amenazas es obtener credenciales bancarias en línea de los dispositivos Android comprometidos, así como secuestrar billeteras Bitcoin. Más de 70 bancos están siendo atacados por el troyano bancario Bizarro. Se propaga a través de paquetes de Microsoft Installer que se entregan a través de enlaces en correos electrónicos no deseados o que se dejan caer mediante aplicaciones armadas.

Una vez que Bizarro se haya entregado al dispositivo Android del usuario, procederá a eliminar todos los procesos del navegador actualmente activos. El objetivo es detener las posibles sesiones con sitios web bancarios que puedan estar ejecutándose en este momento. Luego, la víctima se verá obligada a ingresar sus credenciales bancarias nuevamente, pero esta vez el malware intentará recolectar información. Para aumentar sus posibilidades de éxito, Bizarro toma los pasos adicionales de deshabilitar el autocompletado y generar ventanas emergentes falsas para interceptar cualquier código de autenticación de dos factores. El troyano bancario también viene con capacidades de captura de pantalla. El aspecto más amenazante y lo que distingue a Bizarro de la mayoría de los otros troyanos bancarios es su módulo de puerta trasera en toda regla.

Una potente funcionalidad de puerta trasera

El módulo de puerta trasera de Bizarro puede reconocer y ejecutar más de 100 comandos diferentes. Sin embargo, la puerta trasera no se activa de inmediato. Espera hasta que se detecta una conexión a un sistema bancario en línea que coincide con una lista de cadenas codificadas. Solo después se activan los componentes centrales de la puerta trasera. En general, el actor de la amenaza podrá obtener datos sobre el sistema de la víctima; buscar, filtrar o descargar archivos al sistema; tomar el control de los dispositivos de entrada como el mouse o el teclado; mostrar mensajes de phishing como ventanas emergentes falsas.

Bizarro puede descargar imágenes JPEG que contienen ciertos logotipos bancarios e instrucciones para que las víctimas imiten los sistemas bancarios en línea seleccionados. Las imágenes se obtienen del servidor Command-and-Control (C2, C&C) y se almacenan en el directorio de perfil del usuario en forma cifrada. El malware también puede mostrar mensajes personalizados. Al hacerlo, Bizarro puede congelar el dispositivo comprometido de manera efectiva. Mientras se muestra el mensaje personalizado, los usuarios no podrán cerrarlo ni abrir el Administrador de tareas. Al mismo tiempo, la pantalla aparecerá atenuada y la barra de tareas oculta.

La operación Bizarro parece ser bastante sofisticada con el actor de amenazas empleando a varios afiliados y mulas para realizar diferentes acciones. Estos pueden ir desde una simple ayuda con las traducciones hasta esquemas de lavado de dinero o facilitar los ataques iniciales contra los dispositivos de los usuarios.