Pesquisadores do Cyble Research and Intelligence Labs (CRIL) identificaram um novo trojan bancário para Android, chamado Brokewell, sendo propagado através de um site de phishing que imita a página oficial de atualização do Chrome.
O trojan exibe diversas funcionalidades, incluindo gravação de tela, keylogging e a execução de mais de 50 comandos remotos.
Por meio de um estudo mais detalhado, os especialistas conseguiram rastrear o trojan até o seu criador, que descreveu o software malicioso como capaz de evitar as restrições de permissão nas atualizações mais recentes do sistema operacional Android.
O domínio utilizado para a distribuição do trojan, “hxxp://makingitorut[.]com”, foi identificado pelos pesquisadores do CRIL como um clone do site oficial de atualização do Chrome, apresentando várias similaridades marcantes.
O site falso induz os usuários a acreditar que uma atualização é imprescindível, apresentada como "essencial para proteger o navegador e solucionar vulnerabilidades críticas".
Um botão de download direciona os usuários para baixar o arquivo APK malicioso, denominado Chrome.apk, em seus dispositivos.
A análise revelou que o arquivo APK contém um novo trojan bancário para Android, equipado com uma ampla gama de comandos remotos, que incluem a coleta de informações de telefonia, registro de histórico de chamadas, ativação da tela do dispositivo, localização, gerenciamento de chamadas, além de gravação de tela e áudio.
O malware foi vinculado a um repositório git descrito como capaz de contornar limitações baseadas em permissão para as versões 13, 14 e 15 do Android.
O repositório oferecia links para perfis em fóruns clandestinos, uma página na rede Tor e um canal no Telegram.
A página na Tor redirecionava a vítima para a página pessoal dos desenvolvedores do malware, onde eles se apresentam e promovem um site que lista vários outros projetos que desenvolveram, incluindo verificadores, validadores, ladrões e ransomware.
Os analistas do CRIL sugerem que o Brokewell pode estar em estágios iniciais de desenvolvimento, possuindo, portanto, funcionalidades limitadas.
Atualmente, as técnicas de ataque se concentram em sobreposição de tela, captura de tela/áudio ou em keylogging, mas podem ser expandidas para incluir funcionalidades adicionais.
Foi observado que o malware realiza uma verificação para determinar se o dispositivo hospedeiro está enraizado.
Esse processo inclui a procura por nomes de pacotes de aplicativos verificadores de root, ferramentas de análise de tráfego de rede e ferramentas de análise de arquivos APK.
Caso detecte que o dispositivo não está enraizado, segue para solicitar ao usuário permissões de acessibilidade.
O serviço de acessibilidade é explorado para conceder ao aplicativo outras permissões, como "exibir sobre outros aplicativos" e "instalação de fontes desconhecidas".
Após adquirir as permissões necessárias, o aplicativo apresenta ao usuário uma tela falsa solicitando o PIN do dispositivo, simulando estar na Alemanha.
O PIN coletado é armazenado para uso futuro, juntamente com o envio de várias amostras do malware para análise no VirusTotal.
A referência à Alemanha leva os investigadores a crerem que o alvo principal do ataque seja este país.
Além do alemão, foram encontradas referências em chinês, francês, finlandês, árabe, indonésio, sueco, português e inglês, indicando uma possível expansão dos alvos do malware nas versões subsequentes, com a inclusão de novas funcionalidades.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...