Nova vaga de trojans mira carteiras de criptomoedas e aplicações bancárias

Pesquisadores de cibersegurança descobriram quatro famílias ativas de malware Android que visam mais de 800 aplicações, incluindo carteiras de criptomoedas e aplicações bancárias.
Estes malwares usam métodos que a maioria das ferramentas de segurança tradicionais não conseguem detectar.

A equipa zLabs da Zimperium divulgou resultados que rastreiam os trojans conhecidos como RecruitRat, SaferRat, Astrinox e Massiv.

De acordo com a pesquisa da empresa, cada família possui a sua própria rede de comando e controlo que usam para roubar informações de login, assumir transações financeiras e obter dados de utilizadores de dispositivos infetados.

Aplicações de criptomoedas e bancárias enfrentam novas ameaças de múltiplos malwares

As famílias de malware representam uma ameaça direta a quem gere criptomoedas no Android.

Uma vez instalados, os trojans podem colocar ecrãs de login falsos por cima de aplicações reais de criptomoedas e bancos, roubando passwords e outras informações privadas em tempo real. O malware depois coloca uma página HTML falsa sobre a interface real da aplicação, criando o que a empresa chamou de “uma fachada altamente convincente e enganosa”.

“Usando Serviços de Acessibilidade para monitorizar o primeiro plano, o malware detecta o momento exato em que uma vítima lança uma aplicação financeira,” escreveram investigadores de segurança da Zimperium.

De acordo com o relatório, os trojans podem fazer mais do que apenas roubar credenciais. Também podem capturar códigos de uso único, transmitir a tela de um dispositivo aos atacantes, esconder os seus próprios ícones de aplicações e impedir que as pessoas as desinstalem.

Cada campanha usa um isco diferente para fazer as pessoas caírem nele.

SaferRat espalhou-se usando sites falsos que prometiam acesso gratuito a serviços de streaming premium. RecruitRat escondeu a sua carga útil como parte de um processo de candidatura a emprego, enviando os alvos para sites de phishing que lhes pediam para descarregar um ficheiro APK malicioso.

Astrinox usou o mesmo método baseado em recrutamento, usando o domínio xhire[.]cc. Dependendo do dispositivo usado para visitar esse site, mostrava conteúdos diferentes.

Os utilizadores Android eram convidados a descarregar um APK, e os utilizadores iOS viam uma página que parecia a App Store da Apple. No entanto, investigadores de segurança não encontraram provas de que o iOS tivesse sido realmente invadido.

Não foi possível confirmar como o Massiv foi distribuído durante o ciclo de investigação.

Todas as quatro famílias de trojans usaram infraestruturas de phishing, golpes por mensagens de texto e engenharia social que exploraram a necessidade das pessoas de agir rapidamente ou a sua curiosidade para as levar a instalar aplicações prejudiciais.

Malware de criptomoedas consegue escapar à deteção

As campanhas visam contornar as ferramentas de segurança.

Os investigadores descobriram que as famílias de malware usam técnicas avançadas de anti-análise e manipulação estrutural de pacotes de aplicações Android (APKs) para manter o que a empresa chamou de “taxas de deteção próximas de zero contra mecanismos de segurança tradicionais baseados em assinaturas”.

As comunicações de rede também misturam-se com o tráfego normal. Os trojans usam ligações HTTPS e WebSocket para comunicar com os seus servidores de comando. Algumas versões adicionam camadas extras de encriptação por cima dessas ligações.

Outro aspeto importante é a persistência. Os trojans bancários Android modernos já não usam infecções simples de uma só fase. Em vez disso, usam processos de instalação de múltiplas fases que visam contornar o modelo de permissões em mudança do Android, que dificultou que aplicações realizem ações sem a permissão explícita do utilizador.

O relatório não identificou carteiras de criptomoedas ou exchanges específicas dentro das mais de 800 aplicações visadas. Mas, devido a ataques de sobreposição, interceptação de códigos de acesso e streaming de ecrã, qualquer aplicação de criptomoedas baseada no Android pode estar em risco se um utilizador instalar um APK malicioso de fora da Google Play Store.

Descarregar aplicações a partir de links em mensagens de texto, anúncios de emprego ou sites promocionais continua a ser uma das formas garantidas de malware móvel entrar num smartphone.

Pessoas que gerem as suas criptomoedas em dispositivos Android devem usar apenas lojas de aplicações oficiais e estar atentas a mensagens pop-up que lhes peçam para descarregar algo.

As mentes mais inteligentes em criptomoedas já leram o nosso boletim informativo. Queres juntar-te a eles?