MalRhino Android Banking Trojan

El troyano bancario Android MalRhino es la segunda amenaza que pertenece a una familia de malware no clasificado que fue descubierta por Check Point Research. Si bien los actores de amenazas adoptaron un enfoque minimalista con sus otras creaciones amenazantes llamadas PixStealer, MalRhino está más en línea con los típicos troyanos bancarios de Android. Eso no significa que la amenaza no esté equipada con varias técnicas novedosas o poco vistas. La conexión entre las dos amenazas se realizó en base a similitudes en sus manifiestos, mensajes de registro, nombres de métodos y servicios, etc.

Análisis MalRhino

La amenaza también abusa del Servicio de Accesibilidad de Android para realizar sus acciones dañinas. El propósito del Servicio de Accesibilidad es facilitar el control del dispositivo a las personas con discapacidad. Los piratas informáticos notaron las numerosas funciones disponibles a través de él.rápidamente y han estado explotando el servicio en sus creaciones de malware. Por ejemplo, pueden monitorear las actividades que tienen lugar en la pantalla del dispositivo e interceptarlas. Además, los atacantes pueden simular clics y toques como si el usuario los hubiera hecho.

Sin embargo, la forma en que MalRhino es capaz de procesar eventos de accesibilidad dinámicamente es bastante interesante. La amenaza utiliza JavaScript a través del marco Rhino de Mozilla. A continuación, los atacantes pueden escanear la aplicación de mayor ejecución. Si coincide con una de las aplicaciones objetivo, los piratas informáticos pueden aprovechar su acceso remoto para ejecutar un código específico. La última vez que los investigadores de Check Point observaron esta técnica en una amenaza de malware fue en 2016, como parte del malware bancario Xbot.

Cadena de Ataque de MalRhino

La amenaza se implementa a través de versiones falsas de la aplicación iToken del Inter Bank de Brasil. El nombre del paquete de la aplicación troyana es 'com.gnservice.beta, y podría indicar que la amenaza aún se encuentra en las primeras etapas de su desarrollo. Cabe señalar que la aplicación falsa estaba disponible para descargar desde la tienda oficial de Google Play.

Una vez dentro del dispositivo de la víctima, MalRhino mostrará un mensaje solicitando permisos de accesibilidad. Para engañar al usuario, la aplicación finge que necesita permiso para funcionar correctamente. Si tiene éxito, el troyano podrá ejecutar aplicaciones específicas (principalmente aplicaciones bancarias, recopilar datos del dispositivo y la lista de aplicaciones instaladas y enviar la información adquirida a su servidor de comando y control (C&C, C2). La funcionalidad amenazante implica recuperar el código pin de la aplicación Nubank.

La amenaza MalRhino muestra además la necesidad de precaución al otorgar permisos a las aplicaciones en sus dispositivos, incluso si las aplicaciones se instalaron a través de las plataformas oficiales de la tienda.