Um malware para Android chamado “FunkyBot” começou a aparecer no Japão, operado pelos mesmos atacantes responsáveis pelo malware FakeSpy. Ele intercepta mensagens SMS enviadas para e de dispositivos infectados.
De acordo com o FortiGuard Labs, o malware (nomeado após o log de strings encontrado no mecanismo de persistência da carga) se disfarça como um aplicativo Android legítimo. Assim, a carga útil consiste em dois arquivos .dex: um é uma cópia do aplicativo legítimo original que o malware está representando e o outro é um código malicioso.
Quanto à cadeia de morte, um empacotador determina primeiro em qual versão do Android o telefone está sendo executado, para gerar a carga útil adequada. Depois disso, a carga útil é iniciada chamando a classe runCode
do método através da reflexão Java. Isso inicia uma classe chamada KeepAliceMain, que é usada como mecanismo de persistência pelo malware.
“Ele usa uma biblioteca de código aberto que pode ser encontrada no Github para manter o serviço ativo no dispositivo”, explicou Dario Durando, do FortiGuard, em um blog esta semana. “Ele também permite que o malware silencie os sons do dispositivo”.
Curiosamente, o malware usa a mídia social para obter o endereço do servidor de comando e controle (C2). Durando disse que baixa a página de uma conta do Instagram sem foto. Em seguida, extrai o campo de biografia desta conta e decodifica-o usando Base64.
Depois que a conexão com o servidor é iniciada, o malware prossegue com a impressão digital do dispositivo, enviando o IMEI, o IMSI (Identidade Internacional de Assinante Móvel) e o número de telefone para os atacantes. Esses dados são usados para tomar decisões sobre comportamentos posteriores.
“É interessante notar que o malware identifica o provedor do cartão SIM e procura especificamente um provedor de telecomunicações japonês específico”, explicou Durando. “Para fazer isso, ele verifica o valor IMSI do dispositivo. Esse valor é composto de duas metades: a primeira identifica o provedor e a segunda é exclusiva para o dispositivo específico. ”
Ele também colhe a lista de contatos da vítima para fins de propagação; ou seja, o C2 envia um número de telefone e um corpo da mensagem ao malware, que ele usa para gerar uma mensagem SMS que será enviada a todos da lista.
“A quantidade de informação exfiltrada é relativamente limitada, especialmente quando comparada a famílias maiores como Anubis, Cerberus ou Hydra”, disse Durando. “No entanto, como nas campanhas anteriores [como o FakeSpy], ele também possui técnicas agressivas de disseminação … para permitir que o malware se espalhe de maneira semelhante a um verme”.
Voltando à impressão digital, se o provedor específico desejado estiver associado ao dispositivo, o malware aumentará o número máximo de mensagens SMS que ele se permite enviar.
“Após algumas pesquisas, concluímos que esse comportamento pode ser apenas porque o provedor permite que os clientes enviem mensagens SMS gratuitas um para o outro, aumentando a quantidade de tráfego que um único dispositivo infectado é capaz de gerar antes de levantar suspeitas”, disse Durando.
E, em seu último estágio, o FunkyBot altera as configurações do dispositivo para se tornar o aplicativo padrão de tratamento de SMS.
“[Ele] usa isso para enviar para o C2 todas as mensagens recebidas”, disse Durando. “Essa funcionalidade pode ser muito perigosa, considerando que a maioria dos bancos atualmente usa autenticação de dois fatores por SMS.”
Além da amostra analisada voltada para o Japão, o FortiGuard também encontrou outras que não estavam completamente desenvolvidas e não possuíam algumas das funcionalidades do binário principal.
“[Isso sugere] que o malware está atualmente em desenvolvimento e está sendo testado na natureza”, disse Durando. “As capacidades dessa família são limitadas no momento, mas o fato de termos encontrado amostras diferentes que mostraram uma melhora significativa no período de algumas semanas mostra que essa família não deve ser subestimada”.
FONTE: https://threatpost.com/funkybot-malware-intercepts-android-texts-2fa-codes/148059/