Ousaban es un troyano bancario latinoamericano activo exclusivamente en Brasil. ESET ha estado siguiendo los pasos de esta familia de malware desde 2018, y al igual que la mayoría de los otros troyanos bancarios de América Latina que hemos analizado como parte de esta serie, Ousaban también usa ventanas emergentes superpuestas para robar credenciales y otra información adicional de las instituciones financieras. Sin embargo, a diferencia de la mayoría de los otros troyanos bancarios latinoamericanos, los desarrolladores de Ousaban han extendido el uso de ventanas superpuestas para robar credenciales de populares servicios de correo electrónico regionales. En este artículo de nuestra serie analizamos sus principales características y muchas conexiones con otras familias de troyanos bancarios latinoamericanos.

Características

Al igual que la gran mayoría de los otros troyanos bancarios latinoamericanos que ESET está monitoreando, Ousaban está escrito en Delphi y también muestra signos de desarrollo activo y continuo.

El nombre que ESET asignó a esta familia es una combinación de dos palabras: “ousadia”, que significa “audacia” en portugués, y el término en inglés “banking trojan”. La razón de tal nombre se debe a que durante mucho tiempo Ousaban se distribuyó junto con las imágenes (algunas de ellas obscenas) que se muestran en la Imagen 1, aunque en las campañas de distribución más recientes de Ousaban, este ya no es el caso.

Ousaban también es conocido como Javali, nombre que le asignó Kaspersky, y puede encontrar un artículo reciente sobre este troyano aquí. Por otra parte, ESET también ha podido atribuir a Ousaban a las campañas descritas en esta publicación de 2018. Aunque algunas fuentes afirman que Ousaban está activo en Europa, ESET nunca ha observado ninguna campaña que propague este troyano bancario fuera de Brasil.

Ousaban protege sus ejecutables con los ofuscadores binarios Themida o Enigma. Además, la mayoría de los EXE son agrandados mediante el relleno de binario a aproximadamente 400 MB, probablemente para evadir la detección y el procesamiento automatizado.

Las variantes más recientes de Ousaban contienen una tabla de string para retener sus strings, y almacenan esta tabla en sus seciones .rsrc. Uno de los recursos contiene una lista strings comprimida en zlib delimitadas por caractéres de nueva línea.

Sus capacidades de backdoor son muy similares a las de un típico troyano bancario latinoamericano: simula acciones del mouse y el teclado y registra las pulsaciones del teclado (keylogging). Las últimas variantes se comunican con los servidores de C&C mediante RealThinClient, un protocolo que también utiliza Grandoreiro.