En los últimos meses ha surgido una sofisticada campaña de malware de Android, dirigido a los estudiantes en Bangladesh en disfrazamiento de aplicaciones de becas legítimas.
Disfrazado bajo la apariencia de la Junta de Educación de Bangladesh, estas aplicaciones fraudulentas prometen ayuda financiera y atraen a los usuarios desprevenidos a descargar APK de las URL acortadas.
Una vez instalado, el malware recolecta de manera encubierta información personal y financiera, intercepta mensajes SMS e incluso abusa de los permisos de dispositivos para realizar transacciones bancarias no autorizadas.
Su baja tasa de detección en Virustotal sugiere que los actores de amenaza detrás de esta campaña han invertido un esfuerzo considerable para evadir los controles de seguridad tradicionales.
La distribución inicial se basa en gran medida en campañas de amordazamiento, donde los estudiantes reciben enlaces de SMS que los redirigen a sitios de alojamiento de APK malicioso como AppSloads.top y descargaApp.website.
El atractivo de una solicitud de beca, completa con logotipos oficiales y terminología académica, reduce la guardia de los usuarios y aumenta la probabilidad de instalación.
Después de la instalación, la aplicación solicita a las víctimas a iniciar sesión a través de Google o Facebook e ingresan detalles confidenciales, incluidos el nombre completo, el departamento y la afiliación del instituto.
Analistas de cebol anotado que esta etapa temprana de la ingeniería social es fundamental para generar confianza y recopilar la información requerida para ataques posteriores.
Después de la recolección de credenciales, el malware avanza para solicitar permisos de alto riesgo, incluido el servicio de accesibilidad, acceso SMS, superposición y derechos de gestión de llamadas.
Los investigadores identificaron que una vez que se otorgan estos permisos, la aplicación registra un Smsbroadcastreceiver para capturar textos entrantes que contienen palabras clave asociadas con los principales bancos de Bangladesh (p. Ej., “Bkash”, “Nagad”, “MyGP”) y códigos de servicio USSD específicos.
Los mensajes interceptados se reenvían a un servidor de comando y control de comando y control (C2) de Firebase, lo que permite a los atacantes remotos coordinar nuevas actividades maliciosas.
Tras la escalada exitosa de permisos, Sikkahbot cambia a su fase más peligrosa: transacciones bancarias automatizadas.
Al explotar el servicio de accesibilidad, el malware monitorea continuamente las aplicaciones en primer plano y, al detectar aplicaciones bancarias específicas como Bkash, Nagad o Bank Dutch-Bangla, recupera pines únicos del servidor C2.
Un breve fragmento de código ilustra el proceso de inyección de la entrada del usuario:-
AccessibilityNodeInfo node = rootnode.findfocus (accessabilityNodeInfo.focus_input); Bundle args = new Bundle (); args.putCharSequence (AccessibilityNodeInfo.Action_argument_set_text_charSequence, PIN); node.performaction (accessibilityNodeInfo.action_set_text, args); node.performaction (accessibilityNodeInfo.action_click);
Esta rutina permite el inicio de sesión automatizado sin interacción del usuario.
Marcando el código USSD (fuente – Cyble)
Si las aplicaciones bancarias están inactivas, el malware ejecuta códigos USSD recibidos del servidor, llenando los campos de entrada e invocando botones etiquetados como “Enviar” o “OK” dentro del cuadro de diálogo USSD para iniciar transferencias de fondos sin una conexión a Internet activa (ver Figura 8 – marcando el código USSD).
Mecanismo de infección y persistencia
El mecanismo de infección de Sikkahbot es una mezcla de ingeniería social y abuso de permiso sigiloso.
Después de la instalación inicial de APK, el malware copia su archivo APK a un directorio oculto y se registra como administrador de dispositivos, asegurando que la desinstalación intente impulsar notificaciones de bloqueo administrativo.
Inyecta los componentes del receptor en AndroidManifest.xml para persistir en reinicios, y contacta periódicamente el punto final Firebase C2 en https://update-app-sujon-fefault-rtdb.firebaseio.com para obtener nuevos módulos.
Viejo contra Nueva comparación variante (fuente – cibal)
Al abusar del servicio de accesibilidad, el malware puede volver a habilitar sus propios servicios si los usuarios conscientes de la seguridad los están deshabilitados.
La combinación de los derechos del administrador de dispositivos persistentes, los receptores manifiestos decorados y la encuesta periódica de C2 hacen que Sikkahbot sea excepcionalmente resistente contra la eliminación y la detección.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
