ThiefBot

ThiefBot es un troyano bancario de Android que está diseñado para dirigirse principalmente a usuarios ubicados en Turquía. Esta amenaza de malware específica se anuncia y vende en foros clandestinos de piratas informáticos.

Para no parecer demasiado sospechoso, ThiefBot se disfraza como una aplicación de la tienda Google Play que, una vez instalada, comienza a solicitar todo tipo de permisos de inmediato. ThiefBot quiere que los usuarios le permitan leer, enviar y recibir mensajes SMS, así como acceder al almacenamiento del dispositivo, los contactos del teléfono y la cámara. ThiefBot también quiere permiso para activar el servicio de accesibilidad en el dispositivo comprometido. Si tiene éxito, ThiefBot enumera el dispositivo y descarga un archivo zip llamado ' inj.zip ' de su servidor de Comando y Control (C2).

ThiefBot se dirige a varias aplicaciones y bancos turcos

Para recopilar credenciales, ThiefBot utiliza ataques de superposición que recopilan las credenciales bancarias y los detalles de la tarjeta de crédito / débito de los usuarios y luego los envían a la infraestructura C2 a través de solicitudes POST. Una de las aplicaciones a las que apunta ThiefBot es para Papara Payment Service, con sede en Turquía.

Además, ThiefBot puede recibir comandos para realizar numerosas acciones amenazantes. Puede recopilar los datos de la aplicación del dispositivo comprometido, la lista de contactos y los mensajes SMS. ThiefBot también puede actuar como un bloqueador de pantalla mostrando un mensaje específico en la pantalla del dispositivo. ThiefBot puede propagarse enviando mensajes personalizados engañosos a los contactos que se encuentran en el dispositivo infectado en un intento de convencer a los usuarios desprevenidos de que descarguen e instalen la aplicación amenazante.

Para administrar la campaña y emitir comandos para víctimas específicas, los creadores de ThiefBot han equipado su amenaza de malware con un panel de administración.