Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVO TROYANO BANCARIO PARA ANDROID LLAMADO TSARBOT

21/05/2025

NUEVO TROYANO BANCARIO PARA ANDROID LLAMADO TSARBOT
Durante el monitoreo realizado por el equipo de analistas del Csirt Financiero, se ha identificado un nuevo troyano bancario para Android denominado TsarBot , el cual se distribuye mediante sitios de phishing que se hacen pasar por plataformas financieras legítimas, presentándose como una actualización de Google Play Services para inducir a la víctima a habilitar el servicio de accesibilidad, lo que resulta en la ejecución de diversas funciones maliciosas.

TsarBot emplea ataques de superposición para exfiltrar credenciales bancarias, detalles de tarjetas de crédito y datos de inicio de sesión, mostrando páginas falsas que simulan interfaces de aplicaciones legítimas, asimismo, se vale de técnicas como la captura de pantalla y el control remoto del dispositivo para simular acciones del usuario, como deslizar, tocar o ingresar información, lo que facilita la ejecución de transacciones fraudulentas sin que la víctima detecte la actividad subyacente.

Además, TsarBot incorpora un mecanismo de captura de bloqueo, en el que se despliega una pantalla de bloqueo falsa que se adapta al método de autenticación detectado en el equipo, ya sea mediante PIN, contraseña o patrón, de este modo, logra obtener los datos de bloqueo y consolidar el control total sobre el dispositivo.

 

Vector de infección

El vector de infección de TsarBot inicia con la distribución a través de sitios de phishing que suplantan la identidad de plataformas financieras legítimas, dichos sitios inducen a la víctima a descargar una aplicación dropper que se presenta disfrazada de una actualización de Google Play Services; Esta aplicación, que almacena el archivo APK del troyano en la carpeta "res/raw", a través de técnicas de instalación basadas en sesiones para desplegar TsarBot de manera encubierta en el dispositivo.

 

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto, los cuales pueden ser implementados en sus sistemas de seguridad perimetral; Por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (los hash md5, sha1 y sha256 son equivalentes).
  • Configure el firewall para bloquear conexiones a los puertos utilizados por TsarBot (9001, 9002, 9004 y 9030) y limitar la comunicación con servidores externos.
  • Implementar soluciones de detección y respuesta en endpoints (EDR) que permitan identificar comportamientos anómalos y ataques mediante técnicas de superposición y control remoto de pantalla.
  • Analizar de manera continua los registros de red y de actividad en los equipos para identificar patrones inusuales que puedan estar asociados a intentos de exfiltración de datos a través de conexiones WebSocket.

Leer noticia: https://cyble.com/blog/tsarbot-using-overlay-attacks-targeting-bfsi-sector/