29 trojans bancários que se passavam por apps reais são descobertos no Google Play

Antes de serem removidos do Google Play, os aplicativos maliciosos foram instalados por quase 30.000 usuários. Saiba o que fazer para estar protegido deste tipo de malware.


Os criadores de malware continuam testando a atenção dos usuários do Android, infiltrando trojans bancários para dispositivos móveis na loja Google Play. Recentemente, analisamos um conjunto de 29 trojans sigilosos deste tipo que foram encontrados na loja oficial do Android de agosto até o início de outubro de 2018. As ameaças estavam disfarçados como complementos de reforço e limpeza, gerenciadores de bateria e até mesmo aplicativos com temas do horóscopo.

Ao contrário dos aplicativos maliciosos cada vez mais predominantes, que se baseiam apenas na representação de instituições financeiras legítimas e na exibição de telas de login falsas, esses aplicativos pertencem à categoria de sofisticados malwares bancários para celular com funcionalidades complexas e um foco pesado no sigilo.

Esses trojans remotamente controlados são capazes de afetar de forma dinâmica todos os aplicativos encontrados no dispositivo da vítima através de formulários de phishing personalizados. Além disso, eles podem interceptar e redirecionar mensagens de texto para burlar a autenticação de dois fatores baseada em SMS, interceptar registro de chamadas e baixar e instalar outros aplicativos nos dispositivos comprometidos. Esses aplicativos maliciosos foram publicados com diferentes nomes de desenvolvedores, mas semelhanças de código e um servidor C&C compartilhado sugerem que os aplicativos são o trabalho de um único cibercriminoso ou grupo.


Figura 1 – Exemplos de trojans bancários descobertos no Google Play.

Os 29 aplicativos maliciosos foram removidos da loja oficial do Android depois que os pesquisadores da ESET notificaram o Google sobre sua natureza maliciosa. No entanto, antes de serem retirados da loja, os aplicativos foram instalados por quase 30.000 usuários no total.

Como esses trojans bancários funcionam?

Depois de serem executados, os aplicativos exibem um erro alegando que foram removidos devido à incompatibilidade com o dispositivo da vítima e, em seguida, passam a se esconder da vista do usuário. No entanto, em alguns casos, também oferecem a funcionalidade prometida, como a exibição do horóscopo.

Figura 2 – Uma falsa mensagem de erro é exibida por um desses trojans após ser executado.

Independentemente de qual das atividades anteriormente menciosadas desenvolve cada um desses aplicativos, a principal funcionalidade maliciosa está escondida em um payload criptografado localizado nos assets de cada aplicativo. Este payload é codificada em base64 e, em seguida, criptografados em RC4 usando uma chave hardcodeada. O primeiro estágio da atividade do malware é um dropper que inicialmente verifica a presença de um emulador ou de um sandbox. Se essas verificações falharem, ele descriptografa e libera um loader e um payload que contém o atual malware bancário. Alguns dos aplicativos que analisamos continham mais de um estágio desses payloads criptografadas.

Figura 3 – Funcionalidade para detectar um emulador do Android.

A funcionalidade do payload final é se passar por aplicativos bancários instalados no dispositivo da vítima, interceptar e enviar mensagens SMS, e fazer o download e instalar aplicativos adicionais escolhidos pelo operador. A característica mais importante é que o malware pode se passar por qualquer aplicativo instalado em um dispositivo comprometido. Isso é possível através da obtenção do código HTML dos aplicativos instalados no dispositivo e usando esse código para sobrepor aplicativos legítimos com formulários falsos assim que os aplicativos legítimos são executados, dando pouca chance à vítima de perceber que algo está errado.

Como estar protegido deste tipo de malware?

Felizmente, esse tipo de trojan bancário (a lista completa pode ser encontrada na seção IoCs) não emprega truques avançados para garantir sua persistência nos dispositivos afetados. Portanto, se você suspeitar que instalou algum desses aplicativos, poderá simplesmente desinstalá-los em Configurações> Gerenciador de aplicativos/Apps.

Também aconselhamos que você verifique sua conta bancária em busca de transações suspeitas e considere alterar sua senha home banking ou o código PIN.
Para evitar ser vítima de malware bancário, recomendamos que você:
  • Baixe apenas aplicativos do Google Play. Isso não garante que o aplicativo não seja malicioso, mas apps como esses são muito mais comuns em lojas de aplicativos de terceiros, onde raramente são removidos depois de descobertos, diferentemente do Google Play.
  • Certifique-se de verificar o número de downloads, classificações de aplicativos e o conteúdo de comentários antes de fazer o download dos apps do Google Play.
  • Esteja atento as permissões que são concedidas para os aplicativos que você instala.
  • Mantenha seu dispositivo Android atualizado e use uma solução confiável de segurança para dispositivos móveis. Os produtos da ESET detectam e bloqueiam essa ameaça como Android/TrojanDropper.Agent.CIQ.
Um agradecimento especial a Nikolaos Chrysaidos por nos alertar sobre a existência de alguns desses aplicativos maliciosos.

Indicadores de Comprometimento (IoCs)

App namePackage nameHashInstalls
Power Managercom.puredevlab.powermanager7C13ADEFC2CABD85AD8F486C3CBDB6379811A09710+
Astro Plus com.astro.plus24D2ED751A33BD965A01FA87D7A187D14D0B08490+
Master Cleaner - CPU Booster bnb.massclean.boost101DA4333A26BC6D9DFEF6605E5D8D10206C0EB45,000+
Master Clean - Power Booster mc.boostpower.lfE5DC8D4664167D61E5B4D83597965253A8B4CB3B100+
Super Boost Cleaner cpu.cleanpti.clo33D59A70363857A0CE6857D201B764EF3E8194DD500+
Super Fast Cleanersuper.dupclean.comE125AC53050CAFA5A930B210C8168EA9ED0FD6F1500+
Daily Horoscope For All Zodiac Signs ui.astrohoro.t2018C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA100 +
Daily Horoscope Free - Horoscope Compatibility com.horochart.ukCD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25500+
Phone Booster - Clean Master ghl.phoneboost.com9834B40401D76473D496E73884947D8A9F1920B31,000+
Speed Cleaner - CPU Cooler speeeed.cool.fh7626646C5C6D2C94B9D541BD5A0F320421903277100+
Ultra Phone Booster ult.boostphone.pb 6156081484663085B4FC5DEAEBF7DA079DD655C31,000+
Free Daily Horoscope 2019 fr.dayy.horos 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B50+
Free Daily Horoscope Plus - Astrology Online com.dailyhoroscope.freec0be22c44e5540322e0ffbf3a6fe18ce0968d3b51,000+
Phone Power Booster pwr.boost.proFCB8E568145AF2B6D8D29C0484417E51DD25717F1,000+
Ultra Cleaner - Power Boost ua.cleanpower.boostCB37C8C44750874BA61F6F95E7A7C29073CB51DC50+
Master Cleaner - CPU Booster bnm.massclean.boost 63E1C18D87F41ABF9956FC035D29D3C2890453EE5,000+
Daily Horoscope - Astrological Forecast gmd.horobest.ty90f41c64b3ab3f3b43e9d14b52f13143afb643da1,000+
Speed Cleaner – CPU Cooler speeeed.cool.gh56be07b21c9992a45c3b44b2e8a26b928e8238e20+
Horoscope 2018 com.horo2018i.upc8dc0e94f38556cd83ca6a693fa5b6d7ae3957f71,000+
Meu Horóscopo my.horoscop.br92808ca526f8e655d8fa8716ab476be4041cd5051,000+
Master Clean - Power Booster mc.boostpower.cfab88a93b0e919e5e07cf867f4165f78aa77dc40350+
Boost Your Phone boost.your.phone5577c9131f026d549a38e3ce48c04a323475927e1,000+
Phone Cleaner - Booster, Optimizer phone.boost.glh 988AB351549FEB2C1C664A29B021E98E3695A18A1,000+
Clean Master Pro Booster 2018 pro.cleanermaster.izb9d32241d169dfd4ca5674dffa357796b200bc2f10+
Clean Master - Booster Pro bl.masterbooster.pro bcb9ef41fea8878eb10f4189dd55bfe1d03a64b35,000+
BoostFX. Android cleaner fx.acleaner.e2018 99bff493d201d42534eec9996fd0819a50+
Daily Horoscope day.horocom.ww 971a0cf208f99c259966b20aa10380c11,000+
Daily Horoscope com.dayhoroscope.en25e95b32832a491108835b382c4f14aa1,000+
Personal Horoscope horo.glue.zodnow 0dcaf426bbc3b484aa4004f5c8e48a191,000+

Nenhum comentário:

Postar um comentário

Kaspersky - Parceiro em destaque

450

A Kaspersky protege +450 milhões de pessoas e +220 mil empresas em todo o mundo

680

+680 prêmios de prestígio

27

anos líder em segurança

11

11 centros de transparência em todo o mundo

Pages

Política de Privacidade‎ / Devoluções e Garantia‎ / Entregas‎ / Pagamento‎ / Dúvidas mais Frequentes‎
© GROUP FJ SOLUÇÕES SEGURAS LTDA - 2017 - 2024 / CNPJ: 29.062.899/0001-59. Todos os direitos reservados.
Criado por: GROUP FJ.
Tecnologia GROUP FJ.
imagem-logo