0
0
Um tipo de malware para Android que tem como alvo usuários bancários em todo o mundo desde março ressurgiu com métodos avançados de ofuscação, disfarçado como um aplicativo legítimo na Google Play Store com mais de 10 milhões de downloads, descobriram os pesquisadores.
Godfather é um Trojan bancário que é mais conhecido por visar usuários bancários em países europeus, mas sua atividade mais recente mostra uma maior sofisticação em sua capacidade de voar sob o radar de métodos comuns de detecção de malware, pesquisadores do Cyble Research & Intelligence Labs (CRIL) disse em um post de blogem 20 de dezembro.
Depois de instalado com sucesso no dispositivo da vítima, o Godfather inicia uma série de comportamentos típicos de Trojan bancário, incluindo roubo de credenciais bancárias e de troca de criptomoedas, disseram os pesquisadores. Mas também rouba dados confidenciais, como SMSs, detalhes básicos do dispositivo – incluindo dados de aplicativos instalados – e o número de telefone do dispositivo, e pode executar várias ações nefastas silenciosamente em segundo plano.
“Além disso, ele também pode controlar a tela do dispositivo usando VNC [computação de rede virtual], encaminhando chamadas recebidas do dispositivo da vítima e injetando URLs bancários”, escreveram os pesquisadores do Cyble.
A amostra mais recente do Godfather que os pesquisadores descobriram foi criptografada usando técnicas de criptografia personalizadas que podem evitar a detecção por produtos antivírus comuns – uma nova tática dos agentes de ameaças por trás do malware, disseram os pesquisadores.
Segmentação de empresas e consumidores
Após um exame mais aprofundado, os pesquisadores descobriram que o malware estava usando um ícone e um nome semelhantes ao aplicativo legítimo do Google Play MYT Music, que já registrou mais de 10 milhões de downloads. De fato, os agentes de ameaças geralmente escondem malware no Google Play , apesar dos melhores esforços do Google nos últimos anos para manter aplicativos ruins fora de sua loja antes que os usuários sejam afetados por eles.
O MYT Music foi escrito na língua turca e, portanto, os pesquisadores assumem que a amostra do Godfather que descobriram é voltada para usuários do Android na Turquia. No entanto, eles suspeitam que outras versões do malware continuem ativas e tenham como alvo usuários bancários em todo o mundo.
Embora os Trojans bancários tendam a afetar mais os consumidores do que as empresas, os usuários corporativos ainda correm riscos porque usam seus dispositivos móveis no trabalho e podem até ter aplicativos e dados comerciais armazenados em seus dispositivos. Por esse motivo, os usuários corporativos devem ter cuidado especial ao baixar aplicativos da Internet ou abrir links recebidos por SMS ou e-mails enviados para um telefone celular, disseram os pesquisadores.
O Google Play removeu o aplicativo, mas aqueles que o instalaram ainda correm risco.
Como o padrinho puxa as cordas das vítimas
Uma vez instalado em um dispositivo Android, Godfather solicita 23 permissões diferentes do dispositivo, abusando de várias delas para obter acesso aos contatos de um usuário e ao estado do dispositivo, além de informações relacionadas à conta do usuário. Ele também pode gravar ou excluir arquivos em armazenamento externo e desabilitar o bloqueio de teclas e qualquer senha de segurança associada, disseram os pesquisadores da Cyble.
Godfather pode fazer transferências de dinheiro com sucesso de um dispositivo hackeado por meio de sua capacidade de iniciar chamadas telefônicas por meio de dados de serviço suplementares não estruturados (USSD) que não exigem o uso da interface do usuário do discador e, portanto, não precisam que o usuário confirme a chamada. eles disseram.
O malware também extrai dados confidenciais do usuário do dispositivo – incluindo logs de chave de aplicativo – que podem ser enviados de volta para um servidor de comando e controle (C2), que também envia ao Godfather um comando que encaminha todas as chamadas recebidas pela vítima para um número. fornecido pelo agente da ameaça, disseram os pesquisadores.
Godfather então colhe as credenciais: ele cria uma janela de sobreposição no método OnAccessibilityEvent e injeta páginas de phishing HTML por meio de um comando separado do C2, cuja URL do servidor é de um canal do Telegram, hxxps://t[.]me/varezotukomirza, o disseram os pesquisadores.
Depois de concluir sua atividade maliciosa, o Godfather recebe um comando “killbot” do C2 para se auto-encerrar, acrescentaram.
Evitando ser espancado pelo padrinho
A maneira mais comum de evitar o download de malware de aplicativos móveis é baixar e instalar software apenas de lojas de aplicativos oficiais, como Google Play ou Apple, diz a sabedoria convencional.
No entanto, como esta instância prova, o malware também pode se esconder nas lojas de aplicativos oficiais, portanto, “praticar a ciber-higiene básica em dispositivos móveis e aplicativos bancários on-line evita efetivamente que esse malware comprometa seus dispositivos”, observaram os pesquisadores no post, incluindo o uso de um antivírus respeitável e pacote de software de segurança da Internet em dispositivos conectados para garantir que qualquer download esteja livre de malware.
Além disso, métodos avançados de antidetecção, como os que os agentes de ameaças por trás do Poderoso Chefão estão usando, podem dificultar até mesmo o download do que parecem ser aplicativos legítimos, disseram eles. Para se protegerem ainda mais, os usuários podem utilizar senhas fortes e aplicar a autenticação multifator em dispositivos sempre que possível, tornando mais difícil para os invasores invadirem suas contas.
Os usuários de dispositivos Android também devem garantir que o Google Play Protect esteja ativado em seus dispositivos para maior proteção de segurança, acrescentaram os pesquisadores da Cyble.
Todos os usuários de dispositivos móveis também devem habilitar recursos de segurança biométrica, como impressão digital ou reconhecimento facial para desbloquear o dispositivo móvel e usar aplicativos, sempre que possível, e ter cuidado especial ao habilitar permissões em dispositivos, especialmente se um aplicativo não tiver sido verificado por um provedor respeitável , eles acrescentaram.
FONTE: DARK READING