Nova onda de vírus trojan ataca carteiras de criptomoedas e aplicativos bancários

Pesquisadores de cibersegurança descobriram quatro famílias ativas de malware para Android que estão atacando mais de 800 aplicativos, incluindo carteiras de criptomoedas e aplicativos bancários. Esses malwares usam métodos que a maioria das ferramentas de segurança tradicionais não consegue detectar.

A equipe zLabs da Zimperium divulgou os resultados do tracdos trojans conhecidos como RecruitRat, SaferRat, Astrinox e Massiv.

Segundo a pesquisa da empresa, cada família possui sua própria rede de comando e controle, que utiliza para roubar informações de login, assumir o controle de transações financeiras e obter dados de usuários de dispositivos infectados.

Aplicativos de criptomoedas e bancários enfrentam novas ameaças de diversos malwares

Essas famílias de malware representam uma ameaça direta para qualquer pessoa que gerencie criptomoedas no Android.

Uma vez instalados, os trojans podem sobrepor telas de login falsas a aplicativos legítimos de criptomoedas e bancos, roubando senhas e outras informações privadas em tempo real. O malware então sobrepõe uma página HTML falsa à interface real do aplicativo, criando o que a empresa chamou de "uma fachada altamente convincente e enganosa"

“Ao usar os Serviços de Acessibilidade para monitorar o primeiro plano, o malware detecta o momento exato em que a vítima inicia um aplicativo financeiro”, escreveram os pesquisadores de segurança da Zimperium.

De acordo com o relatório, os trojans podem fazer mais do que apenas roubar credenciaisdentEles também podem capturar senhas de uso único, transmitir a tela de um dispositivo para invasores, ocultar seus próprios ícones de aplicativos e impedir que as pessoas os desinstalem.

Cada campanha usa uma isca diferente para enganar as pessoas.

O SaferRat se propagou usando sites falsos que prometiam acesso gratuito a serviços de streaming premium. O RecruitRat ocultou sua carga maliciosa como parte de um processo de candidatura a emprego, direcionando as vítimas para sites de phishing que solicitavam o download de um arquivo APK malicioso.

A Astrinox utilizou o mesmo tipo de método baseado em recrutamento, usando o domínio xhire[.]cc. Dependendo do dispositivo usado para visitar o site, o conteúdo exibido era diferente.

Usuários do Android foram solicitados a baixar um arquivo APK, e usuários do iOS viram uma página semelhante à da da Apple . No entanto, pesquisadores de segurança não encontraram provas de que o iOS tenha sido de fato invadido.

Não foi possível confirmar como o Massiv foi distribuído durante o ciclo de pesquisa.

Todos os quatro trojans usaram infraestrutura de phishing, golpes por mensagens de texto e engenharia social, explorando a necessidade das pessoas de agir rapidamente ou sua curiosidade para induzi-las a instalar aplicativos maliciosos por fora da loja oficial.

Malware criptográfico consegue escapar da detecção

As campanhas têm como objetivo contornar as ferramentas de segurança.

Os pesquisadores descobriram que as famílias de malware usam técnicas avançadas de anti-análise e adulteração estrutural em pacotes de aplicativos Android (APKs) para manter o que a empresa chamou de "taxas de detecção próximas de zero contra mecanismos de segurança tradicionais baseados em assinaturas"

As comunicações de rede também se misturam ao tráfego normal. Os trojans usam conexões HTTPS e WebSocket para se comunicar com seus servidores de comando. Algumas versões adicionam camadas extras de criptografia a essas conexões.

Outro ponto importante é a persistência. Os trojans bancários modernos para Android não usam mais infecções simples de um único estágio. Em vez disso, utilizam processos de instalação em várias etapas, projetados para contornar o modelo de permissões em constante mudança do Android, que tornou mais difícil para os aplicativos executarem ações sem a permissão explícita do usuário.

O relatório não identificoudentou corretoras entre os mais de 800 aplicativos afetados. No entanto, devido a ataques de sobreposição, interceptação de senhas e transmissão de tela, qualquer aplicativo de criptomoedas para Android pode estar em risco se um usuário instalar um APK malicioso de fora da Google Play Store.

Baixar aplicativos a partir de links em mensagens de texto, anúncios de emprego ou sites promocionais ainda é uma das maneiras garantidas de malware para dispositivos móveis infectar um smartphone.

Quem gerencia suas criptomoedas em dispositivos Android deve usar apenas lojas de aplicativos oficiais e ficar atento a mensagens pop-up que solicitam o download de algum conteúdo.

As mentes mais brilhantes do mundo das criptomoedas já leem nossa newsletter. Quer participar? Junte-se a elas.