0
0
Um novo malware detectado no Android, em alguns casos disseminado até pela Google Play Store, é capaz de turbinar a coleta de credenciais de login de mais de 100 aplicativos bancários e de criptomoedas em milhares de dispositivos.
De acordo com pesquisadores da empresa de segurança cibernética ThreatFabric, com sede em Amsterdã, o vírus, chamado de Vultur, está entre as primeiras ameaças do Android a registrar a tela de um dispositivo sempre que um dos aplicativos visados é aberto.
“O Vultur usa uma implementação real do aplicativo de compartilhamento de tela VNC para espelhar a tela do dispositivo infectado para um servidor controlado pelo invasor”, explicou a ThreatFabric ao site Ars Technica nesta sexta-feira (30).
VNC é a sigla para Virtual Network Computing (rede virtual de informática, em tradução livre), um protocolo de internet que permite a visualização de interfaces gráficas remotas através de uma conexão segura. Isso significa que a pessoa pode ver e acessar todo o conteúdo de outro dispositivo remotamente, pela internet.
Espelhamento de tela de apps reais é a técnica usada pelo malware
Vultur usa o modus operandi (MO) típico para malware de fraude bancária para Android, que é sobrepor uma janela sobre a tela de login apresentada por um aplicativo direcionado. A “sobreposição”, como essas janelas são geralmente chamadas, parece idêntica à interface do usuário do aplicativo bancário, dando às vítimas a impressão de que estão inserindo suas credenciais em um software confiável.
Em seguida, os invasores colhem as credenciais, inserem-nas no aplicativo em execução em um dispositivo diferente e retiram o dinheiro.
“Ameaças bancárias na plataforma móvel não são mais baseadas apenas em ataques de sobreposição bem conhecidos, mas estão evoluindo para malware do tipo RAT, herdando truques úteis como detectar aplicativos em primeiro plano para iniciar a gravação de tela”, revelaram pesquisadores da ThreatFabric sobre a nova abordagem em uma postagem no site da empresa.
Isso leva a ameaça a outro nível, já que tais recursos abrem a porta para fraudes no dispositivo, contornando a detecção com base em MOs de phishing que exigem que a fraude seja realizada a partir de um novo dispositivo: com o Vultur, a fraude pode acontecer no próprio dispositivo infectado da vítima.
E mais: esses ataques são escalonáveis e automatizados, pois as ações para realizar fraudes podem ser programadas no back-end do malware e enviadas na forma de comandos sequenciados.
Vultur viola permissões de uso configuradas nos aparelhos para invadi-los
Como muitos cavalos de Troia bancários do Android, o Vultur depende da configuração dos serviços de acessibilidade integrados ao sistema operacional do celular. Quando instalado pela primeira vez, o Vultur viola esses serviços para obter as permissões necessárias para funcionar.
Para fazer isso, o malware usa uma sobreposição tirada de outras famílias de malware. A partir daí, o Vultur monitora todas as solicitações que acionam os serviços de acessibilidade.
O malware usa os serviços para detectar solicitações provenientes de um aplicativo direcionado e também para evitar a exclusão do aplicativo por meio de medidas tradicionais.
Especificamente, sempre que o usuário tenta acessar a tela de detalhes do aplicativo nas configurações do Android, o Vultur clica automaticamente no botão “voltar”. Isso bloqueia o acesso do usuário ao botão de desinstalação. O Vultur também esconde seu ícone.
Outra maneira pela qual o malware tem sucesso: os aplicativos trojanizados que o instalam são programas completos que fornecem serviços reais, como rastreamento de aptidão ou autenticação de dois fatores.
Apesar das tentativas de camuflagem, no entanto, o malware fornece pelo menos um sinal revelador de que está em execução – qualquer aplicativo trojanizado instalado no Vultur aparecerá no painel de notificação do Android projetando a tela.
Uma vez instalado, o Vultur inicia a gravação da tela, usando a implementação VNC do Alpha VNC. Para fornecer acesso remoto ao servidor VNC em execução no dispositivo infectado, o malware usa o ngrok, um aplicativo que usa um túnel criptografado para expor à Internet pública sistemas locais escondidos atrás de firewalls.
De acordo com a empresa, o malware é instalado por um aplicativo trojanizado conhecido como dropper.
Até agora, os pesquisadores da ThreatFabric encontraram dois aplicativos trojanizados no Google Play que instalam o Vultur. Eles tinham cerca de 5 mil instalações combinadas, o que leva os técnicos a estimar que o número de infecções de Vultur está na casa dos milhares.
Ao contrário da maioria dos malwares para Android, que dependem de droppers de terceiros, o Vultur usa um dropper personalizado que passou a ser chamado de Brunhilda. “Esse dropper e o Vultur são desenvolvidos pelo mesmo grupo de atores de ameaças”, afirma a ThreatFabric. “A escolha de desenvolver seu próprio trojan privado, em vez de alugar malware de terceiros, mostra uma forte motivação dos criminosos, emparelhado com o alto nível geral de estrutura e organização presente no bot, bem como o código do servidor.”
Segundo os pesquisadores, Brunhilda foi usada no passado para instalar diferentes malwares bancários para Android, conhecidos como Alien.
Ao todo, os pesquisadores estimam que Brunhilda infectou mais de 30 mil dispositivos. A estimativa é baseada em aplicativos maliciosos anteriormente disponíveis na Play Store – alguns com mais de 10 mil instalações cada -, bem como em números de mercados de terceiros.
Malware Vultur já fez vítimas na Itália, Austrália e Espanha
O Vultur está programado para gravar telas quando qualquer um dos mais de 100 aplicativos de banco ou de criptomoeda Android estiverem sendo executados em primeiro plano. Itália, Austrália e Espanha foram os países com mais instituições bancárias atacadas.
Além de aplicativos bancários e de criptomoeda, o malware também coleta credenciais para o Facebook, incluindo o WhatsApp, de propriedade do Facebook, além do TikTok e do Viber Messenger.
A coleta de credenciais para esses aplicativos ocorre por meio de keylogging tradicional, embora a postagem do ThreatFabric não tenha explicado o porquê.
Ainda que o Google tenha removido todos os aplicativos Play Market conhecidos por conterem Brunhilda, o histórico da empresa sugere que provavelmente novos aplicativos trojanizados aparecerão.
Usuários do Android devem instalar apenas aplicativos que forneçam serviços úteis e, mesmo assim, somente de editores conhecidos, quando possível. As pessoas também devem prestar muita atenção às avaliações dos usuários e ao comportamento do aplicativo em busca de indícios de malícia.
FONTE: OLHAR DIGITAL