ExoBot 2.0: nueva versión de la bot, totalmente reescrita

Exobot 2.0 el nuevo hallazgo de Group-IB
Exobot 2.0 el nuevo hallazgo de Group-IB

El Grupo-IB Intelligence System ha detectado la siguiente información acerca de ExoBot 2.0, la nueva amenaza para las plataformas Android

El 09.05.2017 un anuncio para la venta de la nueva versión de android bot «Exobot 2.0» fue publicado en el foro subterráneo exploit.in.

Según el autor, el nuevo malware fue completamente escrito desde cero y tiene todas las funciones de la versión anterior.

El autor también afirmó que la mayoría de las partes del Troyano se cargaron dinámicamente, lo que permite cambiar las falsificaciones web y los dominios en los dispositivos infectados.

Este troyano funciona en todas las versiones de OS Android.

Además de eso, la nueva versión ha actualizado el panel administrativo con nuevas características. Asimismo, cabe señalar que el autor prohíbe trabajar en los siguientes países: Estados Unidos, Canadá y CEI.

El troyano Exobot permite

Recopilación de datos de las tarjetas bancarias (se pueden vincular a las aplicaciones deseadas o iniciarse / reiniciar manualmente)
Recopilación de credenciales para cuentas bancarias.

Para ello, el troyano utiliza web-fakes, que aparece arriba de las aplicaciones.

Según el autor, tienen más de 200 web-fakes para los bancos más grandes de Austria, Alemania, Reino Unido, Tailandia, India, España, Australia, Francia, Turquía y Japón.

Además, tienen web-fakes para redes sociales con localizaciones, mensajeros y sistemas de pago

Solicitudes USSD
Reenvío de llamadas
Envío de SMS al número de teléfono especificado
Masiva SMS spam a contactos telefónicos
Masiva SMS de spam a las listas de números de teléfono
Bloqueo de pantalla con página web especificada por URL
Intercepción y borrado de SMS (el usuario no recibirá alertas sobre SMS))
Asesino de dispositivo (hace la contraseña cambiada, la pantalla bloqueada y el sonido deshabilitado)
Notificaciones push (Establezca el mensaje deseado e inicie la aplicación especificada)
Bloquear aplicaciones no deseadas
Redireccionamiento SMS
Hacer llamadas
Obtener aplicaciones instaladas

El autor también observó los detalles técnicos siguientes de Trojan:

Funciona en todas las versiones de OS Android
El tráfico entre bots y panel es cifrado y comprimido
El sistema de módulo extensible permite agregar la funcionalidad requerida en los robots existentes de forma fácil
Bot tiene un sistema de actualización automática
Bot no requiere derechos de root
La eliminación manual de bot es casi imposible
Anti Emuladores / Depuradores

Además de eso, la nueva versión ha actualizado el panel administrativo con nuevas características

El desarrollador observó las siguientes características del panel de administración

Panel web alojado en VPS dedicado y seguro con registros deshabilitados
Notificaciones Jabber sobre nuevos datos entrantes
Lista de tareas Bots – puede establecer tareas para que se comprueben o todos los bots filtrados, ver el estado de las tareas, cancelarlas o repetirlas posteriormente
Panel le permite guardar notas en sus datos
El panel reúne mucha información sobre cada bot: número de teléfono, IMEI, IP, idioma, estado de visualización, hora del teléfono, operador, versión de Android, modelo, etc.
Puede especificar la lista de aplicaciones deseadas para marcar y buscar todos los bots con estas aplicaciones

Sistema de plantillas:

cada APK puede tener un icono único, título y etiqueta para rastrearlo en el panel
Las falsificaciones en la Web se pueden activar / desactivar / volver a activar (cuando se llenaron) – La ejecución en tiempo real de dichas tareas
Los bancos, tarjetas y otros datos se pueden exportar a formatos TXT / CSV
Estadísticas ampliadas (por país / idioma / etiqueta / versión, en línea / sin conexión, tarjetas / bancos, etc.)
Los APK se pueden descargar desde el panel. Las nuevas versiones se cargarán al panel automáticamente.
Puede agregar nuevos dominios en todos los nuevos bots existentes en cualquier momento

La nueva versión también admite actualizaciones pagadas en forma de módulos:

Eliminador de SMS (permite ocultar y eliminar SMS en todas las versiones de Android) – u$s 4000
Contactos grabber (recoge contactos y nombres de teléfono) – u$s 500
Reverse Socks 5 (permite ejecutar el servicio Socks y proporcionar calcetines en el formato “IP: port” para usar la dirección IP del bot en la computadora)
Stealer SecureCard
OTP Stealer v2

Este troyano se alquila. Precio de alquiler de 1 mes es de u$s 2400 + u$s 60 para el panel VPS. .

Precio de 1 semana de alquiler es de u$s 750 + u$s 60 para el panel VPS.

Además, los desarrolladores proporcionan otra versión más simplificada de su troyano llamado Exobot Light.

Esta versión sólo tiene las funciones básicas que son estándar para los troyanos para Android OS:

Envío e intercepción de mensajes SMS, notificaciones push, grabber de tarjetas bancarias y falsificaciones web.

El precio de la versión simplificada es de u$s 500 por mes.

En julio de 2017, este troyano tiene sólo una retroalimentación positiva en el foro exploit.in.

La versión anterior del malware tiene muchas críticas negativas sobre las plataformas subterráneas.

 

Sígueme en Twitter

Sé el primero en comentar

Dejar una contestacion