Nova onda de trojans mira carteiras de criptomoedas e aplicativos bancários

Pesquisadores de cibersegurança descobriram quatro famílias ativas de malware para Android que estão direcionando mais de 800 aplicativos, incluindo carteiras de criptomoedas e aplicativos bancários.
Esses malwares usam métodos que a maioria das ferramentas de segurança tradicionais não conseguem detectar.

A equipe zLabs da Zimperium divulgou resultados rastreando os cavalos de Troia conhecidos como RecruitRat, SaferRat, Astrinox e Massiv.

De acordo com a pesquisa da empresa, cada família possui sua própria rede de comando e controle que usam para roubar informações de login, assumir transações financeiras e obter dados de usuários de dispositivos infectados.

Criptomoedas e aplicativos bancários enfrentam novas ameaças de múltiplos malwares

As famílias de malware representam uma ameaça direta a quem gerencia criptomoedas no Android.

Uma vez instalados, os cavalos de Troia podem colocar telas de login falsas sobre aplicativos reais de criptomoedas e bancos, roubando senhas e outras informações privadas em tempo real. O malware então coloca uma página HTML falsa sobre a interface real do aplicativo, criando o que a empresa chamou de “uma fachada altamente convincente e enganosa”.

“Usando Serviços de Acessibilidade para monitorar o primeiro plano, o malware detecta o momento exato em que uma vítima inicia um aplicativo financeiro”, escreveram pesquisadores de segurança da Zimperium.

De acordo com o relatório, os cavalos de Troia podem fazer mais do que apenas roubar credenciais. Eles também podem capturar códigos de uso único, transmitir a tela do dispositivo para os atacantes, esconder seus próprios ícones de aplicativos e impedir que as pessoas os desinstalem.

Cada campanha usa um isco diferente para fazer as pessoas caírem nele.

SaferRat se espalhou usando sites falsos que prometiam acesso gratuito a serviços de streaming premium. RecruitRat escondia sua carga útil como parte de um processo de candidatura de emprego, enviando os alvos para sites de phishing que solicitavam o download de um arquivo APK malicioso.

Astrinox usou o mesmo método baseado em recrutamento, usando o domínio xhire[.]cc. Dependendo do dispositivo usado para visitar esse site, ele exibia conteúdos diferentes.

Usuários de Android eram convidados a baixar um APK, e usuários de iOS viam uma página que parecia a App Store da Apple. No entanto, pesquisadores de segurança não encontraram provas de que o iOS foi realmente hackeado.

Não foi possível confirmar como o Massiv foi distribuído durante o ciclo de pesquisa.

Todas as quatro famílias de Trojans usaram infraestrutura de phishing, golpes por mensagens de texto e engenharia social que exploraram a necessidade das pessoas de agir rapidamente ou sua curiosidade para fazerem o download de aplicativos prejudiciais.

Malware de criptomoedas evita detecção

As campanhas visam contornar as ferramentas de segurança.

Pesquisadores descobriram que as famílias de malware usam técnicas avançadas de anti-análise e manipulação estrutural de pacotes de aplicativos Android (APKs) para manter o que a empresa chamou de “taxas de detecção próximas de zero contra mecanismos de segurança tradicionais baseados em assinatura”.

As comunicações de rede também se misturam com o tráfego regular. Os cavalos de Troia usam conexões HTTPS e WebSocket para se comunicar com seus servidores de comando. Algumas versões adicionam camadas extras de criptografia sobre essas conexões.

Outro aspecto importante é a persistência. Os cavalos de Troia bancários modernos para Android não usam mais infecções simples de uma única etapa. Em vez disso, utilizam processos de instalação em várias etapas, projetados para contornar o modelo de permissões em mudança do Android, que dificultou que aplicativos realizem ações sem a permissão explícita do usuário.

O relatório não identificou carteiras de criptomoedas ou exchanges específicas dentro dos mais de 800 aplicativos alvo. Mas, devido a ataques de sobreposição, interceptação de senhas e streaming de tela, qualquer aplicativo de criptomoedas baseado em Android pode estar em risco se um usuário instalar um APK malicioso de fora da Google Play Store.

Baixar aplicativos por links em mensagens de texto, anúncios de emprego ou sites promocionais ainda é uma das maneiras garantidas de malware móvel entrar em um smartphone.

Pessoas que gerenciam suas criptomoedas em dispositivos Android devem usar apenas lojas de aplicativos oficiais e ficar atentas a mensagens pop-up que pedem para baixar algo.

As mentes mais inteligentes de criptomoedas já leem nosso boletim informativo. Quer participar? Junte-se a elas.