El autor del troyano Exobot vende el código fuente

Exobot es un troyano bancario para dispositivos Android. Cuando se conoció, se le dio el nombre de Marcher sin embargo ciertas características lo hacían distinguirse de él, entre ellas el ser capaz de renderizar overlays en versiones 6.0 de Android. Incluso el autor, lo quiso distinguir de Marcher llamándolo Exobot



Por lo general, este troyano se distribuía a través de markets externos y enlaces de phishing, además de SMS a través de las víctimas infectadas. Una vez la víctima estaba comprometida, el atacante podía interceptar los SMS de validación del banco y renderizar overlays sobre las aplicaciones objetivo.

El autor de Exobot lo alquilaba a los atacantes, los cuales nunca tenían acceso al código fuente. Para generar los troyanos, utilizaban un panel web donde podían configurar el troyano y estos debían ingeniárselas por su cuenta para infectar a las víctimas. Este ecosistema se ha dilatado a lo largo del tiempo, por lo que muy probablemente fuese un buen negocio para el autor. 

Sin embargo, recientemente el autor ha decidido cerrar el negocio de alquiler para pasar a vender el código fuente a un pequeño grupo de usuarios. Esto puede significar que el autor ha generado el suficiente dinero como para continuar arriesgando, o ha suscitado el interés de los organismos de la ley para ser investigado.

De momento, el código no ha sido filtrado pero se teme que acabe ocurriendo como con otros anteriores como MazarBot o Bankbot, los cuales han sido liberados al público para crear diferentes variantes con mejoras añadidas, y además haciéndolas accesibles a otros usuarios menos experimentados que quieran introducirse en la creación de este tipo de artefactos.

Tras la venta de este troyano, pronto se comenzaron a detectar nuevas campañas haciendo uso de este. Por tanto, podemos observar una clara relación entre su venta y el aumento de objetivos.

Para prevenir este tipo de infecciones, es ideal no descargar aplicaciones de markets externos, además de mantener las soluciones antivirus actualizadas. Por ejemplo, las aplicaciones infectadas que existan en el market de Google serán eliminadas automáticamente a través de Google Play Protect. 


Fernando Díaz
fdiaz@hispasec.com

Más información:

EXOBOT (MARCHER) – ANDROID BANKING TROJAN ON THE RISE:





Powered by WPeMatico

Entradas relacionadas

About Gustavo Genez 1749 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.