Hydra Android Trojan

El troyano Hydra Android se ha utilizado en campañas de ataque activo durante un tiempo, ya que las primeras muestras de esta amenaza se descubrieron en 2019. Desde entonces, la amenaza ha pasado por múltiples versiones y sus capacidades de amenaza se han expandido en varias ocasiones. Sin embargo, el objetivo principal del troyano Hydra para Android sigue siendo el mismo: recopilar las credenciales de la víctima para los servicios bancarios o financieros.

Los investigadores de ciberseguridad de MalwareHunterTeam y Cyble descubrieron la última campaña de implementación del troyano Hydra para Android. La amenazante operación apunta a las plataformas de banca electrónica europeas y más específicamente a los clientes de Commerzbank, el segundo banco más grande de Alemania.

Funciones nocivas

La amenaza se envía a través de un sitio web atractivo que difunde aplicaciones de Commerzbank troyanizadas. Una vez implementado en el dispositivo de la víctima, el troyano Hydra para Android solicita varios permisos críticos. Primero, quiere acceso al servicio de accesibilidad de Android. Este es un servicio en segundo plano legítimo que se implementó para ayudar a las personas con discapacidades a operar sus dispositivos Android de una manera más cómoda. Sin embargo, la amenaza abusa del servicio para monitorear e interceptar todas las actividades que tienen lugar en la pantalla del dispositivo. Hacerlo les permite ver las credenciales ingresadas por la víctima en otras aplicaciones.

El segundo permiso exigido por la amenaza es BIND_DEVICE_ADMIN. Otorga privilegios de administrador a Hydra y le permite realizar numerosas actividades invasivas, como bloquear el dispositivo, modificar el PIN de bloqueo de pantalla y más. El malware puede realizar acciones adicionales, como acceder o enviar SMS, realizar llamadas, enviar mensajes a la lista de contactos de la víctima, etc.

La última versión del troyano Hydra para Android también está equipada con la funcionalidad TeamViewer, de manera similar al troyano bancario S.O.V.A. para Android. Además, ha aumentado la evitación de detección mediante el uso de varias técnicas de cifrado y TOR para la comunicación.