FERRAMENTAS LINUX: Um novo "Alerta Vermelho" de Trojan Bancário do Android surge

quarta-feira, 20 de setembro de 2017

Um novo "Alerta Vermelho" de Trojan Bancário do Android surge


Aparece um novo trojan Bancário para Andoid!



Foi descoberto um Trojan  para Android que apresenta um bot e um painel de comando e controle totalmente escrito a partir do zero, a descoberta foi feita pelo SfyLabs.

Denominado Red Alert 2.0 , o malware foi projetado e distribuído nos últimos meses por um novo ator de ameaça, dizem os pesquisadores. A ameaça apresenta novo código, mas suas capacidades são semelhantes às de outros Trojans bancários do Android, como o uso de sobreposições para roubar credenciais de login ou a capacidade de interceptar mensagens SMS e roubar os contatos dos usuários.

De acordo com a SfyLabs, os atores da Red Alert estão adicionando novas funcionalidades à ameaça para garantir que ela continue a ser efetiva. O malware móvel pode bloquear e registrar as chamadas recebidas dos bancos, garantindo assim que as empresas financeiras não possam entrar em contato com usuários do telefone Android infectado para alertá-los sobre possíveis atividades mal-intencionadas.

O malware também usa o Twitter para evitar a perda de bots quando o servidor de comando e controle (C & C) é desconectado. Os pesquisadores observaram que, caso o bot não conseguisse se conectar ao C & C codificado, recuperaria um novo servidor de uma conta do Twitter.

Esta abordagem não é nova para o mundo do malware, mas tem sido associada principalmente aos trojans do Windows. Na verdade, a SfyLabs afirma que o Red Alert 2.0 é o primeiro Trojan de Android que observou para embalar essa funcionalidade. Dado que cada vez mais usuários executam operações bancárias diretamente de seus dispositivos móveis, não é nenhuma surpresa que os malvados mudem de foco para o Android, o sistema operacional móvel mais popular.

Caso o servidor C & C não esteja disponível, um erro de conexão é acionado. O código dentro do malware usa a data atual combinada com um sal armazenado em strings.xml para criar um novo hash MD5. Os primeiros 16 caracteres do hash são usados ​​como um identificador do Twitter registrado pelos atores do Red Alert. O bot solicita a página do Twitter do identificador e analisa a resposta para obter o novo endereço do servidor C & C.

Ao contrário de outros trojans bancários do Android que usam sobreposições para roubar credenciais de login, o Red Alert 2.0 não recebe a lista completa de destinos do seu servidor C & C. Manter essa lista apenas no servidor torna mais difícil determinar quais bancos a ameaça almeja, mas SfyLabs descobriu cerca de 60 sobreposições de HTML que o ator está usando no momento.

Uma vez que o usuário lança um aplicativo segmentado em um dispositivo Android infectado, o malware exibe uma página de sobreposição que imita o legítimo. No entanto, quando o usuário tenta fazer o login, uma página de erro é exibida, enquanto as credenciais enviadas são enviadas para o servidor C & C.

Para saber quando exibir a sobreposição e a página falsa para mostrar, o malware solicita a aplicação mais alta periodicamente. Nos dispositivos Android 5.0 e superiores, o malware usa a caixa de ferramentas do Android para esta atividade, uma abordagem diferente da usada pelos trojans do Android, como o Mazar , o Exobot e o BankBot , explicam os pesquisadores de segurança.

Os pesquisadores de segurança também descobriram que os atacantes podem controlar o Trojan através de comandos enviados diretamente do servidor C & C. Os comandos incluem iniciar / parar a interceptação de SMS, enviar SMS, definir / redefinir SMS padrão, obter SMS / chamada / lista de contatos, configurar o administrador, iniciar o aplicativo, enviar USSD e bloquear e notificar.

As amostras observadas se divertiam como atualizações do Flash Player, aplicativos populares como o WhatsApp e o Viber, a atualização do Google Market e até as atualizações do sistema Android.


Fonte

Até a próxima!!

Nenhum comentário:

Postar um comentário