Un nuevo y sofisticado troyano bancario denominado DoubleTrouble se ha convertido en una amenaza significativa para los usuarios móviles en toda Europa, empleando técnicas de evasión avanzadas y ampliando su superficie de ataque a través de nuevos canales de distribución.
El malware inicialmente se extendió a través de sitios web de phishing que se hace pasar por instituciones bancarias europeas conocidas, pero recientemente ha evolucionado para aprovechar sitios web falsos que organizan muestras maliciosas directamente dentro de los canales de discordia.
DoubleTroub representa una evolución preocupante en el malware de la banca móvil, que combina ataques superpuestos tradicionales con capacidades de vanguardia que incluyen grabación integral de pantalla, keylogging avanzado y manipulación de dispositivos en tiempo real.
El enfoque sofisticado del troyano implica disfrazarse de extensiones legítimas de Google Play al tiempo que despliega en secreto su carga útil maliciosa de los recursos/directorio sin procesar de la aplicación.
Una vez instalado, el malware explota los servicios de accesibilidad de Android para ejecutar actividades fraudulentas con sigilo y efectividad sin precedentes.
Diseños que se muestran al usuario durante la instalación (Fuente – Zimperium)
Investigadores de seguridad en Zimperium identificado Este troyano bancario durante las extensas operaciones de monitoreo, recolectando 25 muestras de variantes anteriores y 9 muestras de la campaña actual.
El análisis del equipo de investigación reveló la rápida evolución del malware tanto en los métodos de distribución como en las capacidades técnicas, marcándolo como uno de los troyanos bancarios más sofisticados observados en los últimos meses.
El impacto del malware se extiende más allá del robo de credenciales tradicionales, incorporando características que permiten a los atacantes obtener un control completo sobre los dispositivos infectados.
DoubleTouble puede capturar el contenido de la pantalla en tiempo real, monitorear cada pulsación de tecla, bloquear las aplicaciones bancarias legítimas y presentar interfaces falsas convincentes diseñadas para cosechar información financiera confidencial.
La UI falsa creada por el malware para robar la pantalla de bloqueo del dispositivo (fuente – Zimperium)
Estas capacidades posicionan el malware como una amenaza formidable capaz de evitar medidas de seguridad modernas y sistemas de autenticación multifactor.
Mecanismo avanzado de grabación de pantalla y exfiltración de datos
La característica más preocupante de DoubletrOuble se encuentra en su sofisticada capacidad de grabación de pantalla, lo que aprovecha las API MediaProyección de Android y Virtualdisplay para lograr una vigilancia visual integral.
El malware inicia este proceso solicitando permisos de captura de pantalla a través de una actividad cuidadosamente oculta, minimizando la probabilidad de detección de usuarios.
Una vez que se otorga permiso, el troyano crea una pantalla virtual que funciona como un espejo en tiempo real de la pantalla activa del usuario.
Superposición de mantenimiento del sistema que se muestra en la parte superior de la aplicación para bloquear (fuente – Zimperium)
La implementación técnica implica la utilización de un IMAGEREADER para capturar marcos individuales de la pantalla virtual, que posteriormente se convierten en formato JPEG y se codifican en cadenas Base64.
Estos datos visuales codificados se encapsulan dentro de los objetos JSON que contienen metadatos, como dimensiones de pantalla y especificaciones de formato de imagen.
La carga útil completa se transmite al servidor de comando y control, proporcionando a los atacantes una vista sin obstrucciones de todas las actividades del usuario, incluidas las transacciones bancarias, las operaciones de criptomonedas e interacciones del administrador de contraseñas.
DoubleTrouble Common Command Set:-
CommandDescriptionHomeWakes el dispositivo utilizando un bloqueo de estela oculto si la pantalla está apagada, o simula un botón de inicio, presione a través de la accesibilidad si la pantalla se realiza en la posición de X e Y en la pantalla a través de la pantalla de accesibilidad de los gestos de servicio para simular eventos táctiles de touch stithdraw una ruta a través de coordinadas específicas utilizando accesibilidad o toque automatización a automatización ulticheletTARTS a la vista de la pantalla de la pantalla de la pantalla actuales de la pantalla de captura de la pantalla de la pantalla. It al lienzo, y lo envía como un base64 imageStop_skeletonStops enviando y establece el indicador en falseget_screen_locksretrieves de patrón guardado, PIN y bloqueo de contraseña de los tipos de preferencias compartidas para establecer la comunicación con c2html_inyectrycriprieves las inyecciones HTML de html en el servidor y las tiendas de caceque_inyectrectionseCheCoC. APP_CACHE_DATAGET_CACHED_InJectionsCollects Datos de inyección en caché Los archivos HTML almacenados en Shared PreferencesSend_PinShows Una pantalla falsa para robar Pinsend_PatternShows una pantalla falsa para robar Patternsend_PasswordShows una pantalla falsa para robar contraseña. if missing into a temp.html file in the cacheblock_appBlocks a particular app received from server and shows maintenance screenunblock_appUnblocks the apppush_notificationPosts a notification with title, content, and an intent to open either a URL or appstart_graphicalStarts screen capturestop_graphicalStops screen capturestart_antiEnables a protective flag and scans UI elements for specific text to activar acciones automatizadasstop_antidisables un indicador de protección y detiene el escaneo automatizado El backsimula un botón de retroceso PressRecentsImula un botón de inicio Presione a través del accesibilidad de LlockSimates presionando el botón Recents a través de accesibilidad ServiceMutes el audio en el paquete de audio en el paquete de la configuración del sistema de dispositivos Pantalla de configuración de ‘verificar aplicaciones’ de Protects y muestra un tostado si la actividad no está disponible, get_eventssends una carga útil JSON que contiene los datos guardados ‘Beats’ como un comando ‘Events_List’ si los datos existen_black_ondislay una pantalla completa Overlayable_Black_offremoves la actualización negra versado_update_ondisplays una overlays con falso. touch’enable_update_offremoves la actualización Overlayenable_html_oncreates una ventana de superposición que cubre toda la pantalla y muestra una visión web dentro de él con el HTML Contentenable_html_offremoved el Overlay Viewget_screen_sizegets el ancho y las alturas y las alturas a las preferencias compartidas
Este mecanismo de vigilancia funciona en silencio en segundo plano, capturando información confidencial a medida que los usuarios interactúan con aplicaciones legítimas.
La capacidad del malware para registrar exactamente lo que los usuarios ven permite a los atacantes evitar las medidas de seguridad tradicionales, interceptar contraseñas únicas e obtener acceso a datos financieros altamente confidenciales a través de la observación visual en lugar del compromiso directo de la aplicación.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
