0
0
Um perigoso Trojan bancário Android chamado SharkBot que surgiu pela primeira vez em outubro passado e continua a circular na natureza é o mais recente exemplo de persistência do ator de ameaças na tentativa de distribuir malware móvel através da confiável loja de aplicativos móveis Google Play.
O malware — que seu descobridor descreveu como “próxima geração” — usa dispositivos Android comprometidos para transferir dinheiro de contas bancárias de forma clandestina quando a vítima está logado, ignorando controles de autenticação multifatorial no processo. O SharkBot também pode roubar credenciais e dados de cartão de crédito e embala vários recursos que são projetados para complicar ou retardar a detecção.
No mês passado, pesquisadores da Check Point Research identificaram pelo menos seis aplicativos diferentes no Google Play que estavam disfarçados de software antivírus legítimo, mas em vez disso estavam sendo usados para lançar o SharkBot nos dispositivos daqueles que baixaram os aplicativos. Os seis aplicativos foram carregados de três contas separadas de desenvolvedores e foram baixados mais de 15.000 vezes no período relativamente curto que estavam disponíveis no Play.
A Check Point descobriu quatro dos aplicativos que distribuem o SharkBot em 23 de fevereiro de 2022, e o reportou ao Google em 3 de março, mesmo dia em que outro fornecedor de segurança, o NCC Group, também relatou ter encontrado a mesma ameaça na loja oficial de aplicativos móveis do Google. O Google removeu os aplicativos desonestos do Google Play cerca de uma semana depois. Mas menos de uma semana depois — e novamente uma semana depois — a Check Point descobriu mais dois aplicativos contendo o malware no Google Play. Em ambas as ocasiões, a equipe de segurança do Google se moveu rapidamente para remover as ameaças antes que qualquer usuário as baixasse.
Um porta-voz do Google confirmou que a empresa removeu todos os vestígios do malware do Play.
Em um blog esta semana, a Check Point destacou vários recursos no SharkBot que explicam em certa medida as múltiplas vezes que os autores do malware foram capazes de ignorar as proteções do Google para carregá-lo na loja de aplicativos Play. Os truques do SharkBot incluem atrasos de tempo, recursos para detectar se ele está sendo executado em uma caixa de areia e manter a maioria de sua funcionalidade maliciosa em um módulo que é baixado de um servidor externo de comando e controle após os processos de vetação de aplicativos do Play estarem concluídos.
Um aspecto do SharkBot que a Check Point disse que raramente tem observado no malware do Android é o uso do Algoritmo de Geração de Domínio (DGA) para continuar mudando seus domínios C2, então bloquear a ameaça torna-se mais difícil. Também é notável um recurso de geofencing no SharkBot que garante que o malware não seja executado em dispositivos Android localizados na China, Rússia, Ucrânia, Índia, Bielorrússia e Romênia.
“O DGA é um algoritmo pelo qual um cliente mal-intencionado e ator mal-intencionado podem alterar o servidor C2 em conjunto, sem qualquer comunicação”, diz Alexander Chailytko, gerente de pesquisa e inovação em segurança cibernética da Check Point Software. Com o DGA, o Sharkbot pode gerar 35 domínios por semana, complicando assim o processo de bloqueio dos servidores dos operadores de malware, diz ele.
O fato de todas as ações maliciosas do SharkBot serem desencadeadas a partir do servidor de comando e controle também significa que o aplicativo malicioso pode permanecer em uma espécie de estado “OFF” durante um período de teste no Google Play e ativar “ON” quando eles chegam aos dispositivos dos usuários, diz Chailytko.
Funcionalidade sofisticada
Tanto a Cleafy, a primeira a descobrir o malware, quanto o NCC Group em um relatório no mês passado observaram o uso da SharkBot de uma técnica chamada Automatic Transfer Systems (ATS) para iniciar transferências de dinheiro de contas bancárias pertencentes a proprietários de dispositivos Android infectados pelo SharkBot. A técnica envolve basicamente os campos de preenchimento automático de malware e formulários que os bancos normalmente exigem para iniciar uma transferência de dinheiro, quando a vítima usa um dispositivo comprometido para fazer login em sua conta bancária. Esse roubo pode ser muito difícil de detectar porque pode contornar verificações multifatoriais e é realizado por um usuário confiável com um dispositivo previamente inscrito, observou Cleafy.
Chris Clements, vice-presidente de arquitetura de soluções do Cerberus Sentinel, diz que aplicativos de malware que usam atrasos de tempo, técnicas de ofuscação de código e geofencing podem ser difíceis de detectar. Mesmo assim, a regularidade com que eles são descobertos nas lojas oficiais de aplicativos do Google e da Apple prejudica a confiança do usuário na segurança de todos os aplicativos nessas plataformas — especialmente porque ambos os fornecedores destacam suas lojas de aplicativos como seguras e seguras, diz Clements: “É um grande problema em parte porque comprometer com sucesso o dispositivo móvel no centro da vida digital de uma pessoa dá ao atacante amplo acesso para causar danos significativos”.
Ele defende que os usuários de dispositivos móveis prestem muita atenção às permissões que concedem aos aplicativos que baixam, especialmente qualquer aplicativo que queira acesso ao “Serviço de Acessibilidade” no Android para auxiliar usuários com deficiência.
FONTE: DARK READING