Otro Maleware muy especial en latinoamérica: Ojo, es una App para Android!!

Hola a todos, una vez más abro una artículo pues me llegó a mi mesa de trabajo éste último malware para analizar, y lo comparto con ustedes pues una vez más el target es en latinoamérica, en éste caso Brasil, pero de ahí a que se extienda es cuestión de pocas semanas quizá. Se trata de una App para Andriod disponible en Google Play!!! Estoy compartiendo la imagen para que no la descarguen...o bueno, si lo hacen será para quizá analizarla, bajo su riesgo.

Como se aprecia en la imagen se presenta como una aplicación de seguridad que te protege de ataques en la nube. En realidad, al descargarse, se despliega en el registro del sistema y busca las aplicaciones de tus servicios financieros: la App de tu banco, tu Wallet, y los correos asociados a dichas apps.

Se supone que es un desarrollo de una "empresa" llamada GAS Brazil, también asociada a otra conocida como GAS Tecnología. El punto es que la app se lanzó en la plataforma de Google Play el 2 de Febrero del 2020, y para Mayo incluso ya estaba en su versión v1.4. Según una revisión en Virus Total, el día de su lanzamiento ningún vendor de antivirus la pudo detectar.

Les dejo la imagen, los IOC son dos hash:

com.secure.protect.world F17AEBC741957AA21CFE7C7D7BAEC0900E863F61Android/Spy.BanBra.

Acom.brazil.android.free

EA069A5C96DC1DB0715923EB68192FD325F3D3CEAndroid/Spy.BanBra.A

Y las asociaciones con la categorización de MITRE, por si quieren echarse un clavado e investigar un poco más, son las técnicas: T1417 - Input Capture , T1418 - Application Discovery , T1437 - Standard Application Layer Protocol , T1444 - Masquerade as Legitimate Application , T1475 - Deliver Malicious App via Authorized App Store , T1516 - Input Injection

Un saludo, y a mantenerse seguros!! /m4ra~Ubunt4