Os criadores de malware continuam testando a atenção dos usuários do Android, infiltrando trojans bancários para dispositivos móveis na loja Google Play. Recentemente, analisamos um conjunto de 29 trojans sigilosos deste tipo que foram encontrados na loja oficial do Android de agosto até o início de outubro de 2018. As ameaças estavam disfarçados como complementos de reforço e limpeza, gerenciadores de bateria e até mesmo aplicativos com temas do horóscopo.
Ao contrário dos aplicativos maliciosos cada vez mais predominantes, que se baseiam apenas na representação de instituições financeiras legítimas e na exibição de telas de login falsas, esses aplicativos pertencem à categoria de sofisticados malwares bancários para celular com funcionalidades complexas e um foco pesado no sigilo.
Esses trojans remotamente controlados são capazes de afetar de forma dinâmica todos os aplicativos encontrados no dispositivo da vítima através de formulários de phishing personalizados. Além disso, eles podem interceptar e redirecionar mensagens de texto para burlar a autenticação de dois fatores baseada em SMS, interceptar registro de chamadas e baixar e instalar outros aplicativos nos dispositivos comprometidos. Esses aplicativos maliciosos foram publicados com diferentes nomes de desenvolvedores, mas semelhanças de código e um servidor C&C compartilhado sugerem que os aplicativos são o trabalho de um único cibercriminoso ou grupo.
Figura 1 – Exemplos de trojans bancários descobertos no Google Play.
Os 29 aplicativos maliciosos foram removidos da loja oficial do Android depois que os pesquisadores da ESET notificaram o Google sobre sua natureza maliciosa. No entanto, antes de serem retirados da loja, os aplicativos foram instalados por quase 30.000 usuários no total.
Como esses trojans bancários funcionam?
Depois de serem executados, os aplicativos exibem um erro alegando que foram removidos devido à incompatibilidade com o dispositivo da vítima e, em seguida, passam a se esconder da vista do usuário. No entanto, em alguns casos, também oferecem a funcionalidade prometida, como a exibição do horóscopo.
Figura 2 – Uma falsa mensagem de erro é exibida por um desses trojans após ser executado.
Independentemente de qual das atividades anteriormente menciosadas desenvolve cada um desses aplicativos, a principal funcionalidade maliciosa está escondida em um payload criptografado localizado nos assets de cada aplicativo. Este payload é codificada em base64 e, em seguida, criptografados em RC4 usando uma chave hardcodeada. O primeiro estágio da atividade do malware é um dropper que inicialmente verifica a presença de um emulador ou de um sandbox. Se essas verificações falharem, ele descriptografa e libera um loader e um payload que contém o atual malware bancário. Alguns dos aplicativos que analisamos continham mais de um estágio desses payloads criptografadas.
Figura 3 – Funcionalidade para detectar um emulador do Android.
A funcionalidade do payload final é se passar por aplicativos bancários instalados no dispositivo da vítima, interceptar e enviar mensagens SMS, e fazer o download e instalar aplicativos adicionais escolhidos pelo operador. A característica mais importante é que o malware pode se passar por qualquer aplicativo instalado em um dispositivo comprometido. Isso é possível através da obtenção do código HTML dos aplicativos instalados no dispositivo e usando esse código para sobrepor aplicativos legítimos com formulários falsos assim que os aplicativos legítimos são executados, dando pouca chance à vítima de perceber que algo está errado.
Como estar protegido deste tipo de malware?
Felizmente, esse tipo de trojan bancário (a lista completa pode ser encontrada na seção IoCs) não emprega truques avançados para garantir sua persistência nos dispositivos afetados. Portanto, se você suspeitar que instalou algum desses aplicativos, poderá simplesmente desinstalá-los em Configurações> Gerenciador de aplicativos/Apps.
Também aconselhamos que você verifique sua conta bancária em busca de transações suspeitas e considere alterar sua senha home banking ou o código PIN.
Para evitar ser vítima de malware bancário, recomendamos que você:
- Baixe apenas aplicativos do Google Play. Isso não garante que o aplicativo não seja malicioso, mas apps como esses são muito mais comuns em lojas de aplicativos de terceiros, onde raramente são removidos depois de descobertos, diferentemente do Google Play.
- Certifique-se de verificar o número de downloads, classificações de aplicativos e o conteúdo de comentários antes de fazer o download dos apps do Google Play.
- Esteja atento as permissões que são concedidas para os aplicativos que você instala.
- Mantenha seu dispositivo Android atualizado e use uma solução confiável de segurança para dispositivos móveis. Os produtos da ESET detectam e bloqueiam essa ameaça como Android/TrojanDropper.Agent.CIQ.
Indicadores de Comprometimento (IoCs)
App name | Package name | Hash | Installs |
---|---|---|---|
Power Manager | com.puredevlab.powermanager | 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 | 10+ |
Astro Plus | com.astro.plus | 24D2ED751A33BD965A01FA87D7A187D14D0B0849 | 0+ |
Master Cleaner – CPU Booster | bnb.massclean.boost | 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 | 5,000+ |
Master Clean – Power Booster | mc.boostpower.lf | E5DC8D4664167D61E5B4D83597965253A8B4CB3B | 100+ |
Super Boost Cleaner | cpu.cleanpti.clo | 33D59A70363857A0CE6857D201B764EF3E8194DD | 500+ |
Super Fast Cleaner | super.dupclean.com | E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 | 500+ |
Daily Horoscope For All Zodiac Signs | ui.astrohoro.t2018 | C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA | 100 + |
Daily Horoscope Free – Horoscope Compatibility | com.horochart.uk | CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 | 500+ |
Phone Booster – Clean Master | ghl.phoneboost.com | 9834B40401D76473D496E73884947D8A9F1920B3 | 1,000+ |
Speed Cleaner – CPU Cooler | speeeed.cool.fh | 7626646C5C6D2C94B9D541BD5A0F320421903277 | 100+ |
Ultra Phone Booster | ult.boostphone.pb | 6156081484663085B4FC5DEAEBF7DA079DD655C3 | 1,000+ |
Free Daily Horoscope 2019 | fr.dayy.horos | 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B | 50+ |
Free Daily Horoscope Plus – Astrology Online | com.dailyhoroscope.free | c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 | 1,000+ |
Phone Power Booster | pwr.boost.pro | FCB8E568145AF2B6D8D29C0484417E51DD25717F | 1,000+ |
Ultra Cleaner – Power Boost | ua.cleanpower.boost | CB37C8C44750874BA61F6F95E7A7C29073CB51DC | 50+ |
Master Cleaner – CPU Booster | bnm.massclean.boost | 63E1C18D87F41ABF9956FC035D29D3C2890453EE | 5,000+ |
Daily Horoscope – Astrological Forecast | gmd.horobest.ty | 90f41c64b3ab3f3b43e9d14b52f13143afb643da | 1,000+ |
Speed Cleaner – CPU Cooler | speeeed.cool.gh | 56be07b21c9992a45c3b44b2e8a26b928e8238e2 | 0+ |
Horoscope 2018 | com.horo2018i.up | c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 | 1,000+ |
Meu Horóscopo | my.horoscop.br | 92808ca526f8e655d8fa8716ab476be4041cd505 | 1,000+ |
Master Clean – Power Booster | mc.boostpower.cf | ab88a93b0e919e5e07cf867f4165f78aa77dc403 | 50+ |
Boost Your Phone | boost.your.phone | 5577c9131f026d549a38e3ce48c04a323475927e | 1,000+ |
Phone Cleaner – Booster, Optimizer | phone.boost.glh | 988AB351549FEB2C1C664A29B021E98E3695A18A | 1,000+ |
Clean Master Pro Booster 2018 | pro.cleanermaster.iz | b9d32241d169dfd4ca5674dffa357796b200bc2f | 10+ |
Clean Master – Booster Pro | bl.masterbooster.pro | bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 | 5,000+ |
BoostFX. Android cleaner | fx.acleaner.e2018 | 99bff493d201d42534eec9996fd0819a | 50+ |
Daily Horoscope | day.horocom.ww | 971a0cf208f99c259966b20aa10380c1 | 1,000+ |
Daily Horoscope | com.dayhoroscope.en | 25e95b32832a491108835b382c4f14aa | 1,000+ |
Personal Horoscope | horo.glue.zodnow | 0dcaf426bbc3b484aa4004f5c8e48a19 | 1,000+ |
Estima-se que 500 mil aparelhos em 54 países foram afetados
O FBI, a polícia federal americana, alertou nesta semana que hackers estrangeiros haviam comprometido “centenas de milhares de roteadores de casas e escritórios” com o malware VNPFilter e recomendou que usuários em todo mundo reiniciassem seus aparelhos.
Malwares são softwares maliciosos programados para se infiltrar em um computador alheio de forma ilícita. Segundo o FBI, esse programa específico é capaz de bloquear o tráfico da internet, coletar informações que passam pelos roteadores e deixar estes inoperantes.
“O FBI recomenda a qualquer proprietário de roteadores em escritórios pequenos e casas que reinicie seus aparelhos para interromper temporariamente um malware e ajudar com a possível identificação de dispositivos infectados”, disse a agência em um comunicado oficial e também na conta do Twitter.
Caso não seguissem a orientação, usuários corriam o risco de ter seus roteadores fora de operação e perder o acesso à internet, segundo o FBI.
Estima-se que pelo menos 500 mil roteadores foram afetados em 54 países, de acordo com o grupo Cisco Talos, especializado em segurança cibernética, que há meses investiga esse programa malicioso. A lista dos países afetados não foi revelada.
“Os dispositivos conhecidos afetados pelo VPNFilter são equipamentos de Linksys, MilkroTik, NETGEAR e TP-Lynk em escritórios pequenos e em casas. Nossa investigação continua”, detalhou a Cisco em um comunicado no dia 23 de maio.
A Cisco também recomendou aos usuários de internet que restabeleçam as configurações originais de fábrica de seus dispositivos e reiniciem seus roteadores.
Mas por que é necessário tomar essas medidas?
Potencialmente destrutivo
O Departamento de Justiça dos Estados Unidos atribuiu o ataque a um grupo conhecido como “Sofacy”, mas também é chamado de “apt28” ou “fancy bear”.
O Sofacy existe desde 2007 e, segundo um comunicado do Departamento de Estado americano, opera contra “governos, exércitos, organizações de segurança e outros grupos que lidam com inteligência”.
O jornal americano The New York Times diz que serviços de inteligência dos EUA e da Europa acreditam que o grupo “seja dirigido pela agência de inteligência militar da Rússia”, e que esteve por trás dos ataques ao Comitê Nacional do Partido Democrata antes das eleições presidenciais de 2016.
O FBI disse que o impacto desse malware é significativo. Ele é capaz de recolher informações que passam pelos roteadores e de torná-los inoperantes.
Segundo o Departamento de Segurança dos EUA, a principal suspeita pesa sobre grupo de hackers conhecido como Sofacy
A Cisco advertiu que o malware tem “potencial de cortar o acesso à internet de centenas de milhares de vítimas em todo o mundo”.
A empresa divulgou as informações depois de detectar um aumento repentino no número de roteadores vulneráveis no início de maio, em especial na Ucrânia.
“Temos observado o VPNFilter, um malware potencialmente destrutivo que está afetando dispositivos ucranianos a um ritmo alarmante”, assinalou a Cisco. “A escala e a capacidade desta operação são preocupantes”, completou.
O código VPNFilter tem algumas semelhanças com o malware Black Energy, usando em ataques à rede elétrica na Ucrânia em dezembro de 2015.
A rede de energia elétrica da Ucrania sofreu ataques ataques cibernéticos pelo menos duas vezes
Dessa vez, contudo, o FBI parece ter frustrado os preparativos para um novo ataque. No dia 23 de maio, um juiz federal da Pensilvânia (EUA), ordenou que o FBI tomasse o controle do domínio ToKnowAll.com, uma página de internet que ajudava hackers a estabelecer comunicação com os roteadores infectados.
Os equipamentos afetados se conectavam periodicamente com esse endereço para atualizar o VPNFilter. Ao assumir o controle do domínio, o FBI passou a ter capacidade de localizar dispositivos infectados e de limpá-los.
“Isso irá redirecionar as tentativas do malware de reinfectar o dispositivo para um servidor controlado pelo FBI, que irá capturar o endereço dos dispositivos infectados”, esclareceu o Departamento de Justiça.
Reiniciar roteadores, como pediram o FBI e a Cisco, ajuda que o programa peça “instruções” ao domínio, que agora está sob o controle da polícia federal americana.
O Departamento de Justiça explicou que a medida “maximiza as oportunidades de identificar e remediar que equipamentos sejam infectados em todo o mundo antes que a Sofacy se aproveite da vulnerabilidade” da infraestrutura.
Um novo vírus, apelidado de CrossRAT, está sendo usado para espionagem e tem chamado a atenção de pesquisadores de segurança digital. A praga virtual foi descoberta na última semana e traz como característica principal ser multiplataforma: o malware pode afetar computadores com Windows, macOS, Linux e até máquinas com Solaris, o sistema operacional desenvolvido pela Oracle.
O CrossRAT, quando presente em um PC, permita a um hacker mal intencionado enviar comandos remotos à máquina e obter informações sigilosas dos usuários.
O malware se espalha na Internet por meio de práticas simples de engenharia social. Postagens com uma URL maliciosa que levam o usuário a instalar o malware têm sido encontradas em grupos no Facebook e WhatsApp.
O vírus é construído em Java e, uma vez presente no computador, faz uma varredura completa na máquina. Ele consegue identificar o kernel, camada mais básica que faz a integração do sistema com o hardware, e o tipo de arquitetura. O objetivo é fazer a instalação específica do programa de acordo com cada software. O CrossRAT é tão sofisticado que consegue vasculhar o systemmd do Linux para identificar qual é a distribuição do sistema (Centos, Debian, Kali Linux, Fedora etc).
O trojan permite ao hacker enviar comandos ao computador e, assim, ativar a espionagem do sistema. De forma remota, o criminoso poderia tirar prints da tela, manipular os arquivos e executar programas. Além disso, o CrossRAT tem um keylogger embutido, software que grava o que é digitado no computador. No entanto, pesquisadores que analisaram o vírus não encontraram uma forma de ativar essa última ferramenta.
Antivírus podem identificar
De acordo com o site The Hacker News, computadores com Windows e Linux estão mais suscetíveis a serem infectados. Isso porque, como o vírus é construído em Java, é necessário que o usuário tenha este software no computador. Os dois sistemas operacionais já trazem uma versão pré-instalada do Java, enquanto no macOS seria necessário fazer o download.
O arquivo hmar6.jar é o executável que instala o CrossRAT. Segundo o site VirusTotal, 23 dos 58 antivírus mais populares já conseguem detectar o malware, incluindo AVG, Kapersky, Avast e ESET. Outros bem conhecidos como o Malwarebytes, Panda e Tencent ainda não identificam o CrossRAT.
Como saber se um PC está infectado?
No Windows:
Abra o regedit (registro do sistema) e:
- Verifique a chave de registro ‘HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \’.
- Se infectado, haverá um comando que inclui java, -jar e mediamgrs.jar.
No Linux:
- Verifique o arquivo Java, mediamgrs.jar, em / usr / var.
- Procure também um arquivo ‘autostart’ no ~/.config/autostart provavelmente chamado mediamgrs.desktop.
No macOS:
- Verifique o arquivo Java, mediamgrs.jar, em ~ /Library.
- Procure também por mediamgrs.plist. em /Library /LaunchAgents ou ~/Library /LaunchAgents
Como se proteger?
Ter um antivírus pode ajudar a evitar a instalação deste tipo de arquivo, já que o programa vai identificar o executável malicioso. No entanto, a melhor prática é evitar abrir links desconhecidos. Desconfie de qualquer URL enviada por e-mail, aplicativos de mensagens ou rede social, até mesmo em mensagens enviadas por amigos de confiança.
Segundo pesquisadores da ESET, cibercriminosos estão infectando computadores Apple Mac com o malware Proton; dessa maneira, comprometendo o software Elmedia Player e o Folx. A injeção do malware aconteceu na versão gratuita do software disponível no site oficial de desenvolvedor da Eltima — e o Proton entra no Mac sem disparar qualquer alerta antivírus.
A desenvolvedora Eltima reconheceu a presença do malware e comentou o seguinte, como trouxe o HackRead: “No dia 19 de outubro de 2017, fomos informados pela ESET de que nossos servidores foram hackeados e os apps Folx e Elmedia Player estavam distribuindo malware. Apenas as versões dos softwares presentes em nosso site estavam infectadas. Contudo, o mecanismo integrado de atualização automática não foi afetado”.
O malware Proton era vendido na Dark Web em 2016 por alguns bitcoins. Na época, a ferramenta maliciosa era buscada por muitos cibercriminosos por sua capacidade de vigilância e controle: ao infectar uma máquina, o Proton tem controle total do dispositivo, podendo roubar senhas, acompanhar troca de mensagens e vídeos em tempo real pela webcam, baixar arquivos etc.
A única maneira de limpar o Proton de um computador infectado é a reinstalação completa do sistema operacional. Apesar do problema ser corrigido no servidor da Elmedia, fica o alerta para usuários não realizarem downloads em sites terceiros para manter a integridade do computador.
- Você pode checar se foi infectado seguindo os passos indicados pelo HackRead:
Entenda um pouco mais sobre os vírus e veja algumas dicas de como se proteger!
A Microsoft está testando uma ferramenta que aumenta a segurança do navegador da empresa, Microsoft Edge. A empresa disponibilizou, na versão do Windows 10 Insider, uma ferramenta do Windows Defender para o Microsoft Edge. O aplicativo “tranca” o navegador em uma máquina virtual, impedindo que um malware se espalhe pelo PC.
Para ativar o recurso, é preciso clicar em “Ativar ou desativar recurso do Windows” e selecionar “Protteção de aplicativos do Windows Defender”. No Edge, basta selecionar uma nova janela protegida pela ferramenta.
Segundo a Microsoft, o Application Guard é o único a tornar impossível que malwares e arquivos maliciosos se infiltrem no PC. O único problema da solução é que, ao fechar a janela, dados e histórico são perdidos. Por enquanto, a novidade está disponível apenas na versão Insider.