Los investigadores de F5 Labs han encontrado una nueva variedad de malware para Android que ha sido nombrado como Malibot.
Este malware centrado en la plataforma del robot se dirige a usuarios españoles e italianos que tienen acceso a la banca online y wallets de criptomonedas.
La amenaza usaría varios canales de distribución, seguramente para ocultar la brecha de mercado dejada por el cierre repentino de FluBot. Tan solo hace un par de semanas que se llevó a cabo una operación policial internacional para desmantelarlo.
Malibot trata de robar información bancaria o financiera de los usuarios. Trata de hacerse con credenciales de banca electrónica, contraseñas de wallets de criptomonedas, detalles personales y códigos de autenticación de doble factor.
Para camuflarse, se disfraza de apps de minería de criptomonedas como Mining X o TheCryptoApp con el fin de acceder a las billeteras de los usuarios.
Malibot es una poderosa herramienta con capacidades avanzas que puede realizar ataques de superposición o inyección web, robo de monederos de criptomonedas, robo de códigos MFA/2FA, robo de cookies, robo de mensajes SMS, acceso VNC al dispositivo y captura de pantalla, capacidad de eludir la autenticación de dos pasos de Google, capacidad de ejecutar y eliminar apps bajo demanda, posibilidad de enviar SMS bajo demanda, etc.
Los usuarios de Santander y CaixaBank deben extremar precauciones
Algunas entidades que han sido atacadas por Malibot son UniCredit, Santander, CaixaBank o CartaBCC.
Además de servirse de sitios móviles fraudulentos, los actores de amenazas también usan la técnica de mensajes SMS de phishing (smishing) para atraer a los usuarios para que descarguen el malware.
El origen de Malibot sería ruso. El servidor central de comando y control (C2) que usa se encuentra en dicho país. Además, sería el mismo utilizado anteriormente para propagar el malware Sality.