Home > Notícias

Malware para Android, FakeSpy rouba dados por meio de SMS

Malware controla remotamente dispositivos infectados e pode servir como vetor para Trojan bancário

Redação

28/06/2018 às 10h12

Foto:

Utilizar aplicativos móveis legítimos para proliferar ameaças é um modus operandi comum dos cibercriminosos: os hackers se baseiam na popularidade dos apps e, ao alcançar suas vítimas, utilizam o golpe para roubar informações ou distribuir payloads.

De acordo com a Trend Micro - empresa especializada na defesa de ameaças digitais e segurança na era da nuvem - para distribuir seus aplicativos maliciosos, os cibercriminosos geralmente usam mercados de aplicativos de terceiros. No entanto, em operações como as que distribuíam CPUMINER, BankBot e MilkyDoor, hackers tentavam publicar seus aplicativos no Google Play ou na App Store. A Trend Micro constatou também uma abordagem mais sutil que envolve o SmiShing para direcionar possíveis vítimas a páginas maliciosas.

Recentemente, a Trend Micro observou uma campanha que utiliza mensagens SMS como um ponto de entrada para roubar informações do dispositivo infectado. Chamado de FakeSpy (a Trend Micro detectou essa ameaça como ANDROIDOS_FAKESPY.HRX).

O FakeSpy é capaz de roubar mensagens de texto, assim como informações de contas, contatos e registros de chamadas armazenados no dispositivo infectado. O FakeSpy também pode servir como um vetor para um trojan bancário (ANDROIDOS_LOADGFISH.HRX). Embora atualmente esteja limitado a infectar usuários falantes dos idiomas japonês e coreano, não será de se surpreender que o FakeSpy estenda o seu alcance, dada a maneira como os autores da ameaça ajustam ativamente as configurações do malware.

Corrente de ataque

As vítimas recebem uma mensagem de texto (que se passa por uma mensagem legítima) de uma empresa japonesa de logística e transporte solicitando que os destinatários cliquem no link do SMS, conforme mostrado na Figura 1. O link os redirecionará para a página da Web mal-intencionada e ao, clicar em qualquer botão, o comando solicitará que os usuários baixem um pacote de aplicativo Android (APK). A página da Web também tem um guia, escrito em japonês, sobre como baixar e instalar o aplicativo.

Uma análise mais detalhada indica que esta campanha, também tem como alvo, usuários sul-coreanos e está ativa desde outubro de 2017. Para usuários coreanos, o malware de roubo de informações aparece como um aplicativo para várias empresas locais de serviços financeiros ao consumidor. Ao segmentar usuários japoneses, ele se apresenta como aplicativos para empresas de transporte, logística, correio e comércio eletrônico, um serviço de telecomunicações móveis e um varejista de roupas.

Análise técnica

As configurações do FakeSpy, assim como o servidor de comando e controle (C&C), são criptografadas para evitar a detecção. Uma vez iniciado, o FakeSpy começará a monitorar as mensagens de texto que o dispositivo afetado recebe.

Essas mensagens SMS são roubadas e carregadas no C&C. Para manipular as funções internas do aplicativo, fazer o download e executar o JavaScript em um site remoto, o FakeSpy também utiliza a ponte JavaScript (JavaScriptInterface). Os comandos do FakeSpy incluem adicionar contatos ao dispositivo, configurá-lo para silenciar, redefinir o dispositivo, roubar mensagens SMS armazenadas e informações do dispositivo e atualizar suas próprias configurações.

FakeSpy como trojan bancário

Além do roubo de informações, o FakeSpy também pode verificar se existem aplicativos de Internet Banking no dispositivo. Se corresponderem aos aplicativos de interesse do FakeSpy, eles serão substituídos por versões falsificadas que imitam as interfaces do usuário (UI). Em seguida, os usuários recebem uma notificação pedindo que digitem suas credenciais devido a atualizações feitas no aplicativo para solucionar vazamentos de informações.

Ele também avisa os usuários que sua conta poderá ser bloqueada. As informações roubadas são enviadas ao servidor C&C assim que os usuários clicam no botão de login. Além de aplicativos bancários on-line, também verifica aplicativos usados para comércio de moedas digitais.

Abordagens para ocultar a detecção

Para evitar ainda mais a detecção, o endereço do servidor C&C configurado nos aplicativos é atualizado pelo menos uma vez por dia. É importante notar também que os cibercriminosos por trás do FakeSpy são ativos, pelo menos com base em suas atividades em fóruns e nas URLs relacionadas que registram para hospedar seu malware.

Melhores práticas

O SMiShing não é um novo vetor de ataque, mas com engenharia social, ele pode atrair ou obrigar as vítimas a distribuir dados pessoais ou corporativos, ou direcioná-las para sites de hospedagem de malware. É importante que os usuários pensem antes de clicar, façam o download somente em lojas de aplicativos oficiais e atualizem regularmente as credenciais e os sistemas operacionais e aplicativos do dispositivo. Verifique se existem sinais indicadores de phishing, como erros gramaticais ou certos caracteres usados ​​para falsificar uma URL legítima e, mais importante, tenha cuidado com mensagens não solicitadas que passem a sensação de urgência.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail