Novo malware ‘Alien’ pode roubar senhas de 226 aplicativos para Android

Views: 38
0 0
Read Time:4 Minute, 11 Second

Pesquisadores de segurança descobriram e analisaram uma nova variedade de malware Android que vem com uma ampla gama de recursos que permitem roubar credenciais de 226 aplicativos.

Chamado Alien, este novo trojan está ativo desde o início do ano e tem sido oferecido como uma oferta de Malware como serviço (MaaS) em fóruns de hackers subterrâneos.

Em um relatório compartilhado esta semana com o ZDNet, pesquisadores de segurança da ThreatFabric cavaram profundamente em posts de fórum e amostras alienígenas para entender a evolução, truques e recursos do malware.

Cerberus fora, Alien em

De acordo com os pesquisadores, Alien não é realmente um novo código, mas foi realmente baseado no código fonte de uma gangue de malware rival chamada Cerberus.

A Cerberus, enquanto era uma MaaS ativa no ano passado, falhou este ano, com seu proprietário tentando vender sua base de código e base de clientes, antes de eventualmente vazá-la gratuitamente.

ThreatFabric diz que Cerberus morreu porque a equipe de segurança do Google encontrou uma maneira de detectar e limpar dispositivos infectados. Mas mesmo que Alien fosse baseado em uma versão mais antiga de Cerberus, Alien não parece ter esse problema, e seu MaaS interveio para preencher o vazio deixado pela morte de Cerberus.

E os pesquisadores dizem que Alien é ainda mais avançado que Cerberus, um troiano respeitável e perigoso por si só.

Alien pode interceptar alguns códigos 2FA, phish ton de aplicativos

ThreatFabric diz que o Alien faz parte de uma nova geração de trojans bancários Android que também integraram recursos de acesso remoto em suas bases de código.

Isso faz de Alien uma mistura perigosa para se infectar. O Alien não só pode mostrar telas de login falsas e coletar senhas para vários aplicativos e serviços, mas também pode conceder aos hackers acesso a dispositivos para usar essas credenciais ou até mesmo executar outras ações.

Atualmente, de acordo com o ThreatFabric, o Alien possui as seguintes capacidades:

  • Pode sobrepor conteúdo em cima de outros aplicativos (recurso usado para credenciais de login de phishing)
  • Entrada do teclado log
  • Forneça acesso remoto a um dispositivo depois de instalar uma instância do TeamViewer
  • Coletar, enviar ou encaminhar mensagens SMS
  • Lista de contatos de roubo
  • Coletar detalhes do dispositivo e listas de aplicativos
  • Coletar dados de geolocalização
  • Faça solicitações de USSD
  • Chamadas para a frente
  • Instale e inicie outros aplicativos
  • Iniciar navegadores nas páginas desejadas
  • Bloqueie a tela para um recurso semelhante a ransomware
  • Notificações de farejador mostradas no dispositivo
  • Roubar códigos 2FA gerados por aplicativos autenticadores

Isso é uma impressionante variedade de características. ThreatFabric diz que estes são usados principalmente para operações relacionadas a fraudes, como a maioria dos trojans Android tendem a ser hoje em dia, com os hackers mirando contas online, procurando dinheiro.

Durante sua análise, os pesquisadores disseram que descobriram que o Alien tinha suporte para mostrar páginas de login falsas para 226 outros aplicativos Android (lista completa no relatório ThreatFabric).

A maioria dessas páginas de login falsas visava interceptar credenciais para aplicativos de e-banking, apoiando claramente sua avaliação de que o Alien era destinado a fraudes.

No entanto, o Alien também tinha como alvo outros aplicativos, como e-mail, mensagens sociais, instantâneas e aplicativos de criptomoedas (ou seja, Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp, etc.).

A maioria dos aplicativos bancários visados por desenvolvedores alienígenas eram para instituições financeiras sediadas principalmente na Espanha, Turquia, Alemanha, EUA, Itália, França, Polônia, Austrália e Reino Unido.

ThreatFabric não incluiu detalhes sobre como o Alien entra nos dispositivos dos usuários, principalmente porque isso varia de acordo com a forma como os clientes do Alien MaaS (outros grupos criminosos) optaram por distribuí-lo.

“Muito disso parece distribuído através de sites de phishing, por exemplo, página maliciosa enganando as vítimas para baixar atualizações de software falsas ou aplicativos Corona falsos (ainda um truque comum no momento)”, disse Gaetan van Diemen, analista de malware da ThreatFabric, ao ZDNet.

“Outro método observado para ser usado é o SMS, uma vez que eles infectam um dispositivo eles coletam a lista de contatos que eles reutilizam para maior disseminação de sua campanha de malware”, acrescentou.

Alguns aplicativos maliciosos chegam à Play Store, de vez em quando, mas na maioria das vezes, eles são distribuídos por outros canais, disse Van Diemen.

Todos esses aplicativos obscuros contaminados por Alien podem ser facilmente detectados, pois muitas vezes exigem que os usuários lhes concedam acesso a um usuário administrativo ou ao serviço de Acessibilidade.

Como auto-evidente de um conselho “não instale aplicativos de sites obscuros e conceda-lhes direitos administrativos” pode soar, nem todos os usuários de Android são técnicos o suficiente para entendê-lo, e muitos usuários baixarão e instalarão aplicativos de qualquer local e, em seguida, basta clicar em todas as solicitações durante as instalações.

É assim que o malware opera em geral, visando usuários não técnicos, e não os “especialistas”. E há muitos desses usuários não técnicos por perto, daí porque o malware Android é um grande negócio nos dias de hoje em fóruns de hackers.

Então… não instale aplicativos de sites obscuros e conceda-lhes direitos administrativos.

FONTE: ZDNET

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *