O malware FunkyBot intercepta códigos 2FA do Android

Views: 824
0 0
Read Time:3 Minute, 12 Second

Um malware para Android chamado “FunkyBot” começou a aparecer no Japão, operado pelos mesmos atacantes responsáveis ​​pelo malware FakeSpy. Ele intercepta mensagens SMS enviadas para e de dispositivos infectados.

De acordo com o FortiGuard Labs, o malware (nomeado após o log de strings encontrado no mecanismo de persistência da carga) se disfarça como um aplicativo Android legítimo. Assim, a carga útil consiste em dois arquivos .dex: um é uma cópia do aplicativo legítimo original que o malware está representando e o outro é um código malicioso.

Quanto à cadeia de morte, um empacotador determina primeiro em qual versão do Android o telefone está sendo executado, para gerar a carga útil adequada. Depois disso, a carga útil é iniciada chamando a classe runCode do método através da reflexão Java. Isso inicia uma classe chamada KeepAliceMain, que é usada como mecanismo de persistência pelo malware.

“Ele usa uma biblioteca de código aberto que pode ser encontrada no Github para manter o serviço ativo no dispositivo”, explicou Dario Durando, do FortiGuard, em um blog esta semana. “Ele também permite que o malware silencie os sons do dispositivo”.

Curiosamente, o malware usa a mídia social para obter o endereço do servidor de comando e controle (C2). Durando disse que baixa a página de uma conta do Instagram sem foto. Em seguida, extrai o campo de biografia desta conta e decodifica-o usando Base64.

Depois que a conexão com o servidor é iniciada, o malware prossegue com a impressão digital do dispositivo, enviando o IMEI, o IMSI (Identidade Internacional de Assinante Móvel) e o número de telefone para os atacantes. Esses dados são usados ​​para tomar decisões sobre comportamentos posteriores.

“É interessante notar que o malware identifica o provedor do cartão SIM e procura especificamente um provedor de telecomunicações japonês específico”, explicou Durando. “Para fazer isso, ele verifica o valor IMSI do dispositivo. Esse valor é composto de duas metades: a primeira identifica o provedor e a segunda é exclusiva para o dispositivo específico. ”

Ele também colhe a lista de contatos da vítima para fins de propagação; ou seja, o C2 envia um número de telefone e um corpo da mensagem ao malware, que ele usa para gerar uma mensagem SMS que será enviada a todos da lista.

“A quantidade de informação exfiltrada é relativamente limitada, especialmente quando comparada a famílias maiores como Anubis, Cerberus ou Hydra”, disse Durando. “No entanto, como nas campanhas anteriores [como o FakeSpy], ele também possui técnicas agressivas de disseminação … para permitir que o malware se espalhe de maneira semelhante a um verme”.

Voltando à impressão digital, se o provedor específico desejado estiver associado ao dispositivo, o malware aumentará o número máximo de mensagens SMS que ele se permite enviar.

“Após algumas pesquisas, concluímos que esse comportamento pode ser apenas porque o provedor permite que os clientes enviem mensagens SMS gratuitas um para o outro, aumentando a quantidade de tráfego que um único dispositivo infectado é capaz de gerar antes de levantar suspeitas”, disse Durando.

E, em seu último estágio, o FunkyBot altera as configurações do dispositivo para se tornar o aplicativo padrão de tratamento de SMS.

“[Ele] usa isso para enviar para o C2 todas as mensagens recebidas”, disse Durando. “Essa funcionalidade pode ser muito perigosa, considerando que a maioria dos bancos atualmente usa autenticação de dois fatores por SMS.”

Além da amostra analisada voltada para o Japão, o FortiGuard também encontrou outras que não estavam completamente desenvolvidas e não possuíam algumas das funcionalidades do binário principal.

“[Isso sugere] que o malware está atualmente em desenvolvimento e está sendo testado na natureza”, disse Durando. “As capacidades dessa família são limitadas no momento, mas o fato de termos encontrado amostras diferentes que mostraram uma melhora significativa no período de algumas semanas mostra que essa família não deve ser subestimada”.

FONTE: https://threatpost.com/funkybot-malware-intercepts-android-texts-2fa-codes/148059/

POSTS RELACIONADOS