La siguiente publicación es una traducción y adaptación del post "Hesperbot – A new, Advanced Banking Trojan in the wild" escrito por Robert Lipovsky y publicado en We Live Security.
Recientemente, se descubrió un troyano bancario que afecta a usuarios
que utilizan los servicios de banca en línea. Este
troyano afectó a
usuarios de
Turquía, República Checa, Portugal y el Reino Unido. Asimismo, utiliza una campaña de
phishing
que son muy realistas, tomando como objetivo del mismo a sitios de
organizaciones de gran reputación para incrementar la tasa de éxito del
código malicioso.
ESET ha realizado una investigación sobre
Win32/Spy.Hesperbot. Pueden consultar las publicaciones sobre nuestros colegas de Norte América tituladas
Hesperbot Technical Analysis Part 1/2 y
Hesperbot Technical Analysis Part 2/2. Asimismo, también ponemos a disposición el
whitepaper para su descarga.
A mediados del mes de Agosto, descubrimos una campaña de propagación de
malware en República Checa. En un principio, esta campaña llamó nuestra
atención debido a que el malware se encontraba alojado un sitio que
supuestamente pertenecía al servicio postal checo.
El análisis de la amenaza reveló que se trataba de un troyano
bancario
con características y objetivos similares a los ya conocidos
Zeus y
SpyEye, pero con diferencias a nivel de implementación que sugieren que pertenece a una nueva familia de códigos maliciosos.
Hesperbot es un troyano
bancario muy potente que incluye características
tales como funcionalidades de keylogging, captura de pantalla y video,
posibilidad de establecimiento de un proxy remoto. Además, incluye
algunas funcionalidades avanzadas, entre las que se incluye la
posibilidad de establecer un servidor VNC remoto en el sistema infectado
y la capacidad de interceptar el tráfico de red sobre el sistema de la
víctima incluyendo la capacidad de inserción de código HTML.
Cuando se realizaron comparaciones entre la muestra obtenida del sitio
en República Checa y nuestros archivos, notamos que ya habíamos
detectado genéricamente variantes previas como Win32/Agent.UXO las
cuales no solo afectaban a usuarios de República Checa. Instituciones
bancarias de Turquía y Portugal también fueron afectadas.
El objetivo de los atacantes es robar las credenciales bancarias de
acceso de las potenciales víctimas y lograr que instalen componentes del
malware en sus teléfonos con plataformas Symbian, Blackberry o Android.
