Os criadores de malware continuam testando a atenção dos usuários do Android, infiltrando trojans bancários para dispositivos móveis na loja Google Play. Recentemente, analisamos um conjunto de 29 trojans sigilosos deste tipo que foram encontrados na loja oficial do Android de agosto até o início de outubro de 2018. As ameaças estavam disfarçados como complementos de reforço e limpeza, gerenciadores de bateria e até mesmo aplicativos com temas do horóscopo.
Ao contrário dos aplicativos maliciosos cada vez mais predominantes, que se baseiam apenas na representação de instituições financeiras legítimas e na exibição de telas de login falsas, esses aplicativos pertencem à categoria de sofisticados malwares bancários para celular com funcionalidades complexas e um foco pesado no sigilo.
Esses trojans remotamente controlados são capazes de afetar de forma dinâmica todos os aplicativos encontrados no dispositivo da vítima através de formulários de phishing personalizados. Além disso, eles podem interceptar e redirecionar mensagens de texto para burlar a autenticação de dois fatores baseada em SMS, interceptar registro de chamadas e baixar e instalar outros aplicativos nos dispositivos comprometidos. Esses aplicativos maliciosos foram publicados com diferentes nomes de desenvolvedores, mas semelhanças de código e um servidor C&C compartilhado sugerem que os aplicativos são o trabalho de um único cibercriminoso ou grupo.
Figura 1 – Exemplos de trojans bancários descobertos no Google Play.
Os 29 aplicativos maliciosos foram removidos da loja oficial do Android depois que os pesquisadores da ESET notificaram o Google sobre sua natureza maliciosa. No entanto, antes de serem retirados da loja, os aplicativos foram instalados por quase 30.000 usuários no total.
Como esses trojans bancários funcionam?
Depois de serem executados, os aplicativos exibem um erro alegando que foram removidos devido à incompatibilidade com o dispositivo da vítima e, em seguida, passam a se esconder da vista do usuário. No entanto, em alguns casos, também oferecem a funcionalidade prometida, como a exibição do horóscopo.
Figura 2 – Uma falsa mensagem de erro é exibida por um desses trojans após ser executado.
Independentemente de qual das atividades anteriormente menciosadas desenvolve cada um desses aplicativos, a principal funcionalidade maliciosa está escondida em um payload criptografado localizado nos assets de cada aplicativo. Este payload é codificada em base64 e, em seguida, criptografados em RC4 usando uma chave hardcodeada. O primeiro estágio da atividade do malware é um dropper que inicialmente verifica a presença de um emulador ou de um sandbox. Se essas verificações falharem, ele descriptografa e libera um loader e um payload que contém o atual malware bancário. Alguns dos aplicativos que analisamos continham mais de um estágio desses payloads criptografadas.
Figura 3 – Funcionalidade para detectar um emulador do Android.
A funcionalidade do payload final é se passar por aplicativos bancários instalados no dispositivo da vítima, interceptar e enviar mensagens SMS, e fazer o download e instalar aplicativos adicionais escolhidos pelo operador. A característica mais importante é que o malware pode se passar por qualquer aplicativo instalado em um dispositivo comprometido. Isso é possível através da obtenção do código HTML dos aplicativos instalados no dispositivo e usando esse código para sobrepor aplicativos legítimos com formulários falsos assim que os aplicativos legítimos são executados, dando pouca chance à vítima de perceber que algo está errado.
Como estar protegido deste tipo de malware?
Felizmente, esse tipo de trojan bancário (a lista completa pode ser encontrada na seção IoCs) não emprega truques avançados para garantir sua persistência nos dispositivos afetados. Portanto, se você suspeitar que instalou algum desses aplicativos, poderá simplesmente desinstalá-los em Configurações> Gerenciador de aplicativos/Apps.
Também aconselhamos que você verifique sua conta bancária em busca de transações suspeitas e considere alterar sua senha home banking ou o código PIN.
Para evitar ser vítima de malware bancário, recomendamos que você:
- Baixe apenas aplicativos do Google Play. Isso não garante que o aplicativo não seja malicioso, mas apps como esses são muito mais comuns em lojas de aplicativos de terceiros, onde raramente são removidos depois de descobertos, diferentemente do Google Play.
- Certifique-se de verificar o número de downloads, classificações de aplicativos e o conteúdo de comentários antes de fazer o download dos apps do Google Play.
- Esteja atento as permissões que são concedidas para os aplicativos que você instala.
- Mantenha seu dispositivo Android atualizado e use uma solução confiável de segurança para dispositivos móveis. Os produtos da ESET detectam e bloqueiam essa ameaça como Android/TrojanDropper.Agent.CIQ.
Indicadores de Comprometimento (IoCs)
| App name | Package name | Hash | Installs |
|---|---|---|---|
| Power Manager | com.puredevlab.powermanager | 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 | 10+ |
| Astro Plus | com.astro.plus | 24D2ED751A33BD965A01FA87D7A187D14D0B0849 | 0+ |
| Master Cleaner – CPU Booster | bnb.massclean.boost | 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 | 5,000+ |
| Master Clean – Power Booster | mc.boostpower.lf | E5DC8D4664167D61E5B4D83597965253A8B4CB3B | 100+ |
| Super Boost Cleaner | cpu.cleanpti.clo | 33D59A70363857A0CE6857D201B764EF3E8194DD | 500+ |
| Super Fast Cleaner | super.dupclean.com | E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 | 500+ |
| Daily Horoscope For All Zodiac Signs | ui.astrohoro.t2018 | C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA | 100 + |
| Daily Horoscope Free – Horoscope Compatibility | com.horochart.uk | CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 | 500+ |
| Phone Booster – Clean Master | ghl.phoneboost.com | 9834B40401D76473D496E73884947D8A9F1920B3 | 1,000+ |
| Speed Cleaner – CPU Cooler | speeeed.cool.fh | 7626646C5C6D2C94B9D541BD5A0F320421903277 | 100+ |
| Ultra Phone Booster | ult.boostphone.pb | 6156081484663085B4FC5DEAEBF7DA079DD655C3 | 1,000+ |
| Free Daily Horoscope 2019 | fr.dayy.horos | 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B | 50+ |
| Free Daily Horoscope Plus – Astrology Online | com.dailyhoroscope.free | c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 | 1,000+ |
| Phone Power Booster | pwr.boost.pro | FCB8E568145AF2B6D8D29C0484417E51DD25717F | 1,000+ |
| Ultra Cleaner – Power Boost | ua.cleanpower.boost | CB37C8C44750874BA61F6F95E7A7C29073CB51DC | 50+ |
| Master Cleaner – CPU Booster | bnm.massclean.boost | 63E1C18D87F41ABF9956FC035D29D3C2890453EE | 5,000+ |
| Daily Horoscope – Astrological Forecast | gmd.horobest.ty | 90f41c64b3ab3f3b43e9d14b52f13143afb643da | 1,000+ |
| Speed Cleaner – CPU Cooler | speeeed.cool.gh | 56be07b21c9992a45c3b44b2e8a26b928e8238e2 | 0+ |
| Horoscope 2018 | com.horo2018i.up | c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 | 1,000+ |
| Meu Horóscopo | my.horoscop.br | 92808ca526f8e655d8fa8716ab476be4041cd505 | 1,000+ |
| Master Clean – Power Booster | mc.boostpower.cf | ab88a93b0e919e5e07cf867f4165f78aa77dc403 | 50+ |
| Boost Your Phone | boost.your.phone | 5577c9131f026d549a38e3ce48c04a323475927e | 1,000+ |
| Phone Cleaner – Booster, Optimizer | phone.boost.glh | 988AB351549FEB2C1C664A29B021E98E3695A18A | 1,000+ |
| Clean Master Pro Booster 2018 | pro.cleanermaster.iz | b9d32241d169dfd4ca5674dffa357796b200bc2f | 10+ |
| Clean Master – Booster Pro | bl.masterbooster.pro | bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 | 5,000+ |
| BoostFX. Android cleaner | fx.acleaner.e2018 | 99bff493d201d42534eec9996fd0819a | 50+ |
| Daily Horoscope | day.horocom.ww | 971a0cf208f99c259966b20aa10380c1 | 1,000+ |
| Daily Horoscope | com.dayhoroscope.en | 25e95b32832a491108835b382c4f14aa | 1,000+ |
| Personal Horoscope | horo.glue.zodnow | 0dcaf426bbc3b484aa4004f5c8e48a19 | 1,000+ |