Al principio, sus objetivos eran únicamente entidades rusas y ucranianas además de procesadores de pago como Paypal. Sin embargo, rápidamente amplió su lista de objetivos a otros países, incluyendo España. Este troyano además, ha conseguido saltarse el antivirus de Google logrando introducirse en la Play Store, donde pudo conseguir instalaciones reales.
En la charla se analizarán los distintos componentes del troyano bancario. En primer lugar, se analizará la infraestructura del lado del servidor, cómo se comunica con la víctima y cómo aprovecharemos este conocimiento para poder forzar la obtención de entidades afectadas.
De la misma manera, se estudiará el componente en Android, donde se detallarán los mecanismos de robo de datos que incluye, así como las mejoras que ha obtenido en versiones posteriores. También se incluirá un análisis de las librerías propias que incluyen algunas de estas muestras, además del proceso de infección.
Finalmente, analizaremos el componente utilizado para pasar los controles de la Play Store, así como los países afectados por las distintas versiones a lo largo del tiempo. Incluirá cómo utilizar Yara para detectar dichas muestras.
