Remo es un troyano bancario revelado por primera vez hace más de un año por investigadores de Cyble Research and Intelligence Labs. Se dirige directamente a aplicaciones de banca móvil y monederos de criptomonedas para robar el dinero de sus víctimas.
VMX Labs detectó recientemente una nueva variante de Remo e informó responsablemente de los hallazgos a Alibaba Cloud, donde residen los sitios web de distribución y la infraestructura de mando y control (C2). Juntos, logramos desbaratar la operación fraudulenta de Remo.
En este artículo, pretendemos presentar el estado actual del troyano bancario Remo Android en comparación con las primeras muestras descubiertas hace más de un año.
Distribución
Se siguen utilizando sitios web de phishing para distribuir las muestras del malware Remo, de modo que VMX Labs puede rastrear sus operaciones de distribución. Estos sitios web a veces presentan el contenido en un idioma que nos facilita predecir el foco geográfico de la campaña de malware.
Sin embargo, esta vez los sitios web de phishing estaban en inglés, por lo que la región objetivo no estaba clara. Los dominios de distribución "e-ussecurity.cc" y "usaonlinesecurity.cc" apuntan a Estados Unidos como región objetivo. Sin embargo, la lista de objetivos cargada desde el servidor C2 eliminó rápidamente esta posibilidad.
Las aplicaciones seleccionadas sugieren claramente que los países del sudeste asiático y la India son el objetivo de esta campaña. También encontramos vietnamita en la fuente HTML del sitio web de distribución, que coincide con el idioma principal de los usuarios de algunas aplicaciones objetivo.
Lista de objetivos
La lista de aplicaciones objetivo muestra que la actual campaña Remo ABT está activa en la India y el Sudeste Asiático, especialmente en Malasia, Indonesia y Vietnam. Antes estaba activa en Tailandia, Indonesia y Vietnam.
Aplicaciones específicas 2023 |
Aplicaciones específicas 2024 |
|---|---|
| com.vnpay.bidv | com.mservice.momotransfer |
| vn.com.techcombank.bb.app | com.vnpay.SCB |
| com.VCB | com.vib.myvib2 |
| com.vietinbank.ipay | com.ocb.omniextra |
| com.vnpay.Agribank3g | ops.namabank.com.vn |
| mobile.acb.com.vn | com.sacombank.ewallet |
| com.vnpay.vpbankonline | vn.shb.mbanking |
| com.tpb.mb.gprsandroid | vn.com.techcombank.bb.app |
| src.com.sacombank | com.tpb.mb.gprsandroid |
| com.mbmobile | com.VCB |
| com.vnpay.hdbank | com.vietinbank.ipay |
| vn.com.msb.smartBanking | com.vnpay.vpbankonline |
| com.ocb.omniextra | xyz.be.cake |
| com.mservice.momotransfer | vn.com.vng.zalopay |
| com.bca | mobile.acb.com.vn |
| id.bmri.livin | com.vnpay.Agribank3g |
| src.com.bni | com.vnpay.bidv |
| com.jago.digitalBanking | com.mbmobile |
| com.bsm.activity2 | com.android.chrome |
| com.ocbcnisp.onemobileapp | src.com.sacombank |
| id.co.bri.brilinkmobile | ops.namabank.com.vn |
| id.com.uiux.mobile | com.UCMobile.intl |
| com.bca.mybca.omni.android | com.maybank2u.vida |
| com.dbs.id.pt.digitalbank | mi.com.hongleongconnect.mobileconnect |
| com.alloapp.yump | com.engage.pbb.pbengage2my.release |
| com.dbank.mobile | mi.com.cimb.ngb |
| net.myinfosys.PermataMobileX | com.rhbgroup.rhbmobilebanking |
| id.co.bankbkemobile.digitalbank | com.ambank.ambankonline |
| com.bplus.vtpay | com.bsn.mybsn |
| vn.com.vng.zalopay | com.affin.AffinMobileBanking |
| wifi.gps.input | com.iexceed.CBS |
| th.or.gsb.coachaom | com.alliance.AOPMobileApp |
| ktbcs.netbank | com.uob.my.infinity |
| com.bbl.mobilebanking | com.sbi.lotusintouch |
| com.kasikorn.retail.mbanking.wap | com.sbi.SBIFreedomPlus |
| com.scb.phone | com.csam.icici.bank.imobile |
| com.krungsri.kma | com.snapwork.hdfc |
| com.TMBTOUCH.PRODUCTION | com.axis.mobile |
| com.kbzbank.kpaycustomer | com.bankofbaroda.mconnect |
| com.uob.mighty.app | com.msf.kbank.mobile |
| com.ktb.cliente.qr | com.bca |
| im.token.app | com.dbank.mobile |
| vn.shb.mbanking | com.panin.mobilepanin |
| com.bitpie | id.co.cimbniaga.mobile.android |
| io.metamask | id.co.bri.brilinkmobile |
| com.binance.dev | id.bmri.livin |
| pro.huobi | id.co.bankbkemobile.digitalbank |
| com.bybit.app | src.com.bni |
| com.okinc.okex.gp | com.dimasdev.btnppid_v2 |
| vip.mytokenpocket | com.bnc.finanzas |
| app.vitien.vitien | com.bsm.activity2 |
| id.co.bri.brimo | |
| co.id.bankjatim.prioritashaihaiproduction | |
| com.dbs.sg.dbsmbanking | |
| id.com.uiux.mobile | |
| net.myinfosys.PermataMobileX | |
| com.btpn.dc | |
| com.muamalatdin | |
| com.defi.wallet | |
| com.wallet.crypto.trustapp | |
| org.toshi | |
| net.bitstamp.app |
Tabla 1: Listas de aplicaciones objetivo (nombres de paquetes) en 2023 frente a 2024
La comparación refleja la naturaleza dinámica del panorama de las amenazas móviles:
- Aumento del 24% en el número total de aplicaciones seleccionadas.
- Sólo el 55% de las aplicaciones objetivo en 2023 permanecen en la lista de objetivos de Remo en 2024.
- Expansión hacia India, Malasia y posiblemente Singapur, mientras se aleja de Tailandia.
La fuerte subida de los precios del Bitcoin atrajo a los ciberdelincuentes detrás del Remo ABT
También detectamos un mayor interés de los adversarios por las aplicaciones de monederos de criptomonedas durante esta investigación. El servidor C2 de Remo añadió las siguientes cuatro aplicaciones a su lista de objetivos cuando el precio de Bitcoin cruzó el hito de los 100.000 dólares.
Antes de la actualización, la lista de objetivos no estaba especialmente poblada de aplicaciones de monederos de criptomonedas. El rápido aumento del precio del Bitcoin parece haber atraído a los ciberdelincuentes.
Aplicación móvil |
Nombre del paquete |
|---|---|
| Crypto.com Onchain | com.defi.wallet |
| Confianza: Crypto & Bitcoin Wallet | com.wallet.crypto.trustapp |
| Monedero Coinbase: NFTs & Crypto | org.toshi |
| Bitstamp: Compra y venta de criptomonedas | net.bitstamp.app |
Tabla 2: Aplicaciones de monederos de criptomonedas añadidas a la lista de objetivos
Análisis técnico
Las clases Remo que implementan las funcionalidades maliciosas han sido renombradas en su mayoría y tienen un aspecto diferente al de las primeras muestras detectadas hace más de un año. Sin embargo, el actor de la amenaza pasó por alto algunos indicadores que nos llevaron a detectar la nueva variante momentáneamente mediante un simple análisis estático.
Como muchos otros troyanos bancarios, Remo abusa del servicio de accesibilidad de Android para lograr los objetivos del adversario. Una de las mejoras críticas observadas en las muestras recientes es la suplantación de una aplicación legítima, AnyDesk plugin ad1que cuenta con más de 10 millones de descargas en Google Play Store y aprovecha el servicio de accesibilidad. Se trata, sin duda, de un intento de eludir los algoritmos de detección que se basan únicamente en los nombres del servicio de accesibilidad.
Un cambio significativo en la última variante de Remo es la eliminación del módulo SMS malicioso para enviar mensajes SMS desde el dispositivo infectado. El permiso adquirido para esta operación suele desencadenar una investigación más profunda en busca de comportamientos maliciosos.
Otra diferencia interesante es que la nueva variante informa al servidor C2 no sólo de las aplicaciones objetivo, sino también de algunas aplicaciones de sistema instaladas en el dispositivo de la víctima. La información filtrada por aplicación permanece inalterada, es decir, paquete, nombre y versión. Las aplicaciones de sistema reportadas en nuestra configuración de prueba se enumeran a continuación.
Paquete |
Nombre |
|---|---|
| com.google.android.youtube | YouTube |
| com.google.android.googlequicksearchbox | |
| com.google.android.apps.messaging | Mensajes |
| com.google.android.apps.safetyhub | Seguridad personal |
| com.android.vending | Google Play Store |
| com.android.stk | Kit de herramientas SIM |
| com.google.android.deskclock | Reloj |
| com.google.android.gm | Gmail |
| com.google.android.dialer | Teléfono |
| com.google.audio.hearing.visualization.accessibility.scribe | Transcripción en directo y notificaciones sonoras |
| com.google.android.apps.nbu.files | Archivos de Google |
| com.google.android.accessibility.soundamplifier | Amplificador de sonido |
| com.google.android.apps.docs | Conducir |
| com.google.android.apps.maps | Mapas |
| com.google.android.apps.consejos | Consejos sobre píxeles |
| com.google.android.contactos | Contactos |
| com.google.android.calculator | Calculadora |
| com.google.android.videos | Google TV |
| com.google.android.apps.fotos | Fotos |
| com.google.android.calendar | Calendario |
| com.google.android.accessibility.switchaccess | Acceso al conmutador |
| com.android.settings | Ajustes |
| com.google.android.apps.healthdata | Conectar con la salud |
| com.google.android.apps.wearables.maestro.companion | Pixel Buds |
| com.android.angle | Ángulo del sistema Android |
| com.google.android.apps.grabadora | Grabadora |
| com.google.android.apps.work.clouddpc | Política de dispositivos |
| com.google.android.apps.youtube.music | YouTube Música |
| com.android.traceur | Seguimiento del sistema |
| com.google.android.GoogleCamera | Cámara |
Cuadro 3: Aplicaciones del sistema comunicadas al C2
Otra mejora es que la aplicación maliciosa ya no solicita automáticamente un permiso de accesibilidad. En su lugar, carga una página de inicio de sesión desde una fuente remota e implementa un mecanismo de autenticación, que es una función antianálisis. Creemos que los delincuentes proporcionan las credenciales a sus víctimas.
Remo todavía puede robar datos del portapapeles cuando las víctimas inician la aplicación, y no necesita permisos adicionales para acceder al portapapeles. Debido a las largas direcciones de las billeteras de criptomonedas y las frases de recuperación, los usuarios de aplicaciones de billeteras de criptomonedas utilizan con frecuencia el portapapeles, y los troyanos bancarios dirigidos a estas aplicaciones prestan especial atención a estos datos.
Los usuarios de Android 12 y superiores son alertados por un mensaje de tostado del sistema. No deben ignorar esta bandera roja.
El mensaje de informe periódico enviado al servidor C2 consta de nuevos campos de datos que nos informan sobre las características recientemente desarrolladas del troyano:
- Latitud y longitud: Remo comenzó a rastrear la ubicación del dispositivo.
- isDeviceAdminEnable: Remo empezó a abusar de la potente API de administración de dispositivos, una conocida técnica utilizada frecuentemente por troyanos bancarios.
- floatingWins: Información sobre ventanas flotantes.
- appStatusData: El campo de estado en chino indica que un actor de amenazas de habla china está detrás de Remo. El valor es "Connected\n" en la Figura 7.
- isHighPowerMode: Probablemente añadido porque el modo de ahorro de energía restringe la actividad en segundo plano.
- screenPushMode: El plugin VideoRoom del servidor de medios WebRTC de Janus se utiliza para compartir la pantalla en tiempo real. Implica que hay otros modos soportados.
- deviceNumber: Identificador aleatorio de seis caracteres.
- isIgnoringBatteryOptimizations: Las optimizaciones de batería pueden evitar que el malware se ejecute continuamente en segundo plano. Las aplicaciones necesitan solicitar explícitamente al usuario que conceda el permiso. Remo comenzó a informar si el permiso fue concedido o no.
También es importante mencionar que la nueva variante de Remo ABT ha sido actualizada para apuntar a dispositivos Android 14, mientras que las muestras anteriores soportaban hasta Android 13.
Conclusión
El Remo ABT ha evolucionado considerablemente en más de un año. Hemos descubierto que hay algunos factores subyacentes detrás de esta evolución.
- Evasión de la defensa. Las campañas de fraude y, en consecuencia, el aumento del número de víctimas a lo largo del tiempo atraen el interés de los defensores. Cuando este interés se combina con una exhaustiva inteligencia sobre amenazas, el malware empieza a detectarse y remediarse con precisión, lo que a su vez obliga a los actores de la amenaza a desarrollar nuevas formas de evadir la detección.
- Técnicas nuevas o mejoradas. Los actores de las amenazas también adquieren experiencia práctica y conocimientos con el tiempo. Intentan implementar nuevas funciones para subir de nivel y resolver los problemas que encuentran sobre el terreno.
- Actualizaciones del sistema operativo Android. Las continuas actualizaciones del sistema operativo y el aumento de la adopción de estas actualizaciones llevan finalmente a los actores de amenazas a adaptar el malware para una mejor cobertura de objetivos.
- Tendencias. El repentino aumento del precio del Bitcoin atrajo la atención de todos, incluidos los adversarios.
Al igual que Remo, el panorama de las amenazas móviles es muy dinámico y responde rápidamente a las protecciones mejoradas en forma de nuevas variantes de una familia de malware conocida. El vigilancia continua de los dispositivos móviles y las aplicaciones es vital para seguir el ritmo a los ciberdelincuentes.
Lista de indicadores de compromiso (IOC)
Indicador |
Tipo |
Descripción |
|---|---|---|
| usaonlinesecurity.cc | dominio | Sitio web de distribución |
| e-ussecurity.cc | dominio | Sitio web de distribución |
| usw4s.top | dominio | C2 |
| nhlkasjdvncea.top | dominio | C2 |
| 83bf604ed920231a1af209b5d10fa752fe07359303f35d40c039b73b268f8fe5 | SHA256 | Mobile Security.apk |
| 49d24a77a8b6846ba81907e0f773c232f284e39f10161ffee917e6e0664a7d0a | SHA256 | Mobile Security.apk |
| f75e26936a8f3b55065cdad25ee3e37bdf94054bc5e242dc72ebb073e4f73c3d | SHA256 | gjf-p3.apk (antigua muestra de Remo) |
El tifón salino deja al descubierto lagunas críticas en la seguridad móvil: CISA reacciona