Sharkbot: o que há de diferente no novo trojan bancário Android

gurinho

Um novo trojan bancário, o Sharkbot, está se espalhando em dispositivos Android por meio de uma botnet, principalmente na Itália, Inglaterra e Estados Unidos . O malware foi identificado por Cleafy que havia divulgado um relatório detalhado do aplicativo em novembro passado , analisando suas características e metodologia de ataque. Apesar de ser retratado como particularmente inovador, o Sharkbot é realmente construído sobre técnicas extremamente bem estabelecidas que já foram alvo de críticas do Google no passado. O principal objetivo do aplicativo é iniciar transações bancárias não autorizadas, comprometendo o sistema de dupla autenticação normalmente em operação para esse tipo de transação.

Como o Sharkbot funciona: o novo trojan bancário

Como qualquer Trojan que se preze, o Sharkbot é instalado em dispositivos infectados graças a uma botnet e ataques de phishing direcionados a um grande público de usuários. De fato, é difícil que um aplicativo desse tipo seja lançado pela PlayStore e possa ser instalado diretamente pelos usuários finais. Uma vez no dispositivo, o padrão de ataque geralmente é o seguinte:

  1. Solicitação de permissões : mesmo por meio de operações inofensivas, o usuário é induzido a conceder todas as permissões que o aplicativo precisa para operar;
  2. Ligação ao servidor de Comando e Controlo (C2): desta forma será possível transmitir a informação obtida do telemóvel da vítima e receber ordens a cumprir;
  3. Fase de latência : o aplicativo muda de ícone ou inibe sua visibilidade, dificultando a identificação;
  4. Monitoramento e ataque : durante o uso diário do smartphone, as transações são monitoradas e ativadas em determinadas circunstâncias (como durante o uso de aplicativos bancários).

Na base de toda a cadeia há um ataque extremamente simples de realizar o dos Overlays: um objeto das bibliotecas do Android que permite visualizar conteúdos que se sobrepõem ao que já está na tela. Desta forma, é extremamente simples mostrar ao usuário informações que o induzem a pressionar determinadas áreas da tela, mas essa ação será capturada pelo aplicativo subjacente gerando um evento não autorizado.

Alguns detalhes dos recursos mais avançados

O Sharkbot, além de realizar o ataque descrito acima, está equipado com uma série de recursos adicionais para evitar a análise dos antivírus tradicionais (estamos falando de uma taxa de reconhecimento de 5%). Na verdade, o malware ofusca todas as strings relacionadas a comandos e informações importantes para retardar a análise estática do código. Ele também consegue identificar o ambiente de execução, desabilitando-se no caso de máquinas virtuais (por exemplo, para execuções sandbox). Como previsto, o aplicativo muda seu ícone para não ser facilmente reconhecido e adota uma técnica anti-cancelamento graças aos serviços de acessibilidade do Android.

A parte realmente relevante é inserir texto nos aplicativos bancários e contornar a autenticação multifator. De facto, o Sharkbot consegue identificar os ecrãs de entrada de transferências a crédito SEPA e consegue substituir o IBAN do beneficiário por outros destinatários . Ele também pode ler e escrever o acesso ao SMS, de fato usando as senhas de uso único (OTP) recebidas para concluir a autorização de pagamento. Por fim, as técnicas de Overlay e as ferramentas de captura de tela permitem identificar informações pessoais como saldo da conta, credenciais de login e outros dados desse tipo.

Possíveis contramedidas

Claro, podemos nos proteger desse tipo de ataque que, em qualquer caso, é extremamente complexo e requer muita intervenção do usuário. Lembre-se, portanto, que se virmos aplicativos estranhos aparecendo que não esperávamos ou ícones de status incomuns, pode haver algo ilegal. Normalmente, na verdade, o malware não é projetado para ter um desempenho excelente, mas para encontrar os dados de que precisam . Para fazer isso, eles costumam consumir muita bateria e enviar muitos dados para os servidores de Comando e Controle. Uma verificação simples é procurar quais aplicativos estão sendo executados no momento, analisando se encontramos algum estranho que consuma muitos dados e seja particularmente pesado. Nesse caso, vamos excluí-lo imediatamente ou proceder com a redefinição do dispositivo.

O artigo Sharkbot: O que há de diferente no novo Trojan Banking Android foi escrito em: Tech CuE | Engenharia de close-up .