Aparece um novo trojan Bancário para Andoid!
Foi descoberto um Trojan para Android que apresenta um bot e um painel de comando e controle totalmente escrito a partir do zero, a descoberta foi feita pelo SfyLabs.
Denominado Red Alert 2.0 , o malware foi projetado e distribuído nos últimos meses por um novo ator de ameaça, dizem os pesquisadores. A ameaça apresenta novo código, mas suas capacidades são semelhantes às de outros Trojans bancários do Android, como o uso de sobreposições para roubar credenciais de login ou a capacidade de interceptar mensagens SMS e roubar os contatos dos usuários.
De acordo com a SfyLabs, os atores da Red Alert estão adicionando novas funcionalidades à ameaça para garantir que ela continue a ser efetiva. O malware móvel pode bloquear e registrar as chamadas recebidas dos bancos, garantindo assim que as empresas financeiras não possam entrar em contato com usuários do telefone Android infectado para alertá-los sobre possíveis atividades mal-intencionadas.
O malware também usa o Twitter para evitar a perda de bots quando o servidor de comando e controle (C & C) é desconectado. Os pesquisadores observaram que, caso o bot não conseguisse se conectar ao C & C codificado, recuperaria um novo servidor de uma conta do Twitter.
Esta abordagem não é nova para o mundo do malware, mas tem sido associada principalmente aos trojans do Windows. Na verdade, a SfyLabs afirma que o Red Alert 2.0 é o primeiro Trojan de Android que observou para embalar essa funcionalidade. Dado que cada vez mais usuários executam operações bancárias diretamente de seus dispositivos móveis, não é nenhuma surpresa que os malvados mudem de foco para o Android, o sistema operacional móvel mais popular.
Caso o servidor C & C não esteja disponível, um erro de conexão é acionado. O código dentro do malware usa a data atual combinada com um sal armazenado em strings.xml para criar um novo hash MD5. Os primeiros 16 caracteres do hash são usados como um identificador do Twitter registrado pelos atores do Red Alert. O bot solicita a página do Twitter do identificador e analisa a resposta para obter o novo endereço do servidor C & C.
Ao contrário de outros trojans bancários do Android que usam sobreposições para roubar credenciais de login, o Red Alert 2.0 não recebe a lista completa de destinos do seu servidor C & C. Manter essa lista apenas no servidor torna mais difícil determinar quais bancos a ameaça almeja, mas SfyLabs descobriu cerca de 60 sobreposições de HTML que o ator está usando no momento.
Uma vez que o usuário lança um aplicativo segmentado em um dispositivo Android infectado, o malware exibe uma página de sobreposição que imita o legítimo. No entanto, quando o usuário tenta fazer o login, uma página de erro é exibida, enquanto as credenciais enviadas são enviadas para o servidor C & C.
Para saber quando exibir a sobreposição e a página falsa para mostrar, o malware solicita a aplicação mais alta periodicamente. Nos dispositivos Android 5.0 e superiores, o malware usa a caixa de ferramentas do Android para esta atividade, uma abordagem diferente da usada pelos trojans do Android, como o Mazar , o Exobot e o BankBot , explicam os pesquisadores de segurança.
Os pesquisadores de segurança também descobriram que os atacantes podem controlar o Trojan através de comandos enviados diretamente do servidor C & C. Os comandos incluem iniciar / parar a interceptação de SMS, enviar SMS, definir / redefinir SMS padrão, obter SMS / chamada / lista de contatos, configurar o administrador, iniciar o aplicativo, enviar USSD e bloquear e notificar.
As amostras observadas se divertiam como atualizações do Flash Player, aplicativos populares como o WhatsApp e o Viber, a atualização do Google Market e até as atualizações do sistema Android.
Fonte
Até a próxima!!
Nenhum comentário:
Postar um comentário