El ecosistema de malware de Android es de lo más diverso y activo, y Escobar es solo un recordatorio más, y actualmente el más reciente, de hasta que punto resulta fundamental contemplar la seguridad den el uso de los smartphones en el día a día, ya hablemos de usuarios particulares que deben velar por su propia seguridad, o de organizaciones en las que los responsables de IT deben velar para evitar que uno de estos dispositivos se convierta en una puerta abierta a la infraestructura.
Esta situación es todavía peor desde que el modelo de malware as a service se ha popularizado, puesto que ya no son solo las organizaciones cibercriminales las que pueden llevar a cabo sus campañas. Cualquier persona con los recursos necesarios para organizar un ataque, aún sin conocimientos técnicos o con un nivel muy básico de los mismos, puede contratar el acceso a una plataforma y, desde la misma, llevar a cabo sus campañas contra cualquier objetivo que se haya planteado.
Tal es el caso de Escobar, una evolución del conocido y temible troyano bancario Aberebot, que Bleeping Computer ha detectado en la red. El nexo de unión entre ambos troyanos es claro, pues el servicio de Escobar es ofrecido por la misma persona que ofrecía Aberebot en su momento. De momento este malware se encuentra en fase beta, pero el autor ya lo ofrece a los potenciales clientes con una tarifa de 3.000 euros al mes, con un periodo de prueba gratuito de tres meses.
Para ofrecer un mejor servicio a sus clientes, Escobar puede ser contratado por un máximo de cinco clientes al mes, y para cuando finalice la fase beta el precio de contratación del servicio ascenderá a los 5.000 dólares mensuales. El anuncio es del pasado mes de febrero, y a principios de este mes se produjo su primer avistamiento in the wild, en una app para Android que pretendía hacerse pasar por software legítimo de McAffee.
En cuanto a sus funciones, podemos esperar de Escobar lo que de cualquier troyano bancario, es decir, permanece a la escucha de todo lo que ocurre en el dispositivo, a la espera de poder capturar cualquier interacción del usuario con servicios bancarios para, en ese momento, hacerse con las credenciales de acceso. Lo que hace más peligroso a este malware que otros es, y esto es muy importante, que es capaz de identificar y capturas elementos de identificaciones MFA, ya que registra llamadas SMS, registros de claves, notificaciones y códigos de Google Authenticator.
Una vez capturada la información, la transmite a su servidor de comando y control, de modo que las personas que estén operando Escobar en esa campaña puedan intentar acceder a las cuentas bancarias de los usuarios atacados. El resto, ya lo puedes imaginar.
Para poder llevar a cabo todas sus funciones, Escobar es particularmente exigente en lo referido a los permisos, y es que solicita nada menos que 25, de los cuales 15 son empleados con fines maliciosos. Entre ellos se encuentran funciones de accesibilidad, grabación de audio, lectura de SMS, almacenamiento de lectura/escritura, obtención de una lista de cuentas, desactivación del bloqueo de teclas, realización de llamadas y acceso a la ubicación precisa del dispositivo.
No parece casual que Escobar imposte ser una herramienta de seguridad. Por norma general, tenemos asumido que este tipo de aplicaciones, tanto en PC como en dispositivos, requieren de un amplio conjunto de privilegios para poder funcionar adecuadamente. Esta es una de las razones de la popularidad que experimentaron los rogue antivirus a finales de la primera década de este siglo, y por qué seguimos viéndolos de manera habitual a día de hoy.
Y, claro, esto es un recordatorio más de que no debemos confiar en una app simplemente porque su nombre nos inspire confianza. Debemos ver quién firma la subida de dicha aplicación a la tienda de aplicaciones de Google y, si tenemos dudas, contactar con la empresa que se supone que está detrás de la misma para confirmar que, realmente, nos encontramos frente a una aplicación oficial, y no frente a una falsificación, como ocurre en el caso de Escobar.
Y claro, debemos evitar la descarga de apps de fuentes no oficiales. Una de las grandes ventajas de Android es que permite la instalación de software desde muchos orígenes, a diferencia de iOS, que solo lo permite desde la App Store o, en el caso de software en desarrollo, mediante TestFlight. Sin embargo, en ocasiones esos repositorios de software pueden ser una puerta abierta al malware, por lo que lo más recomendable es evitarlos tanto como sea posible.
La entrada Escobar: Aberebot vuelve con más fuerza que nunca es original de MuySeguridad. Seguridad informática.