Atualização do Chrome: Trojan bancário engana usuários
29 de Abril de 2024

Pesquisadores do Cyble Research and Intelligence Labs (CRIL) identificaram um novo trojan bancário para Android, chamado Brokewell, sendo propagado através de um site de phishing que imita a página oficial de atualização do Chrome.

O trojan exibe diversas funcionalidades, incluindo gravação de tela, keylogging e a execução de mais de 50 comandos remotos.

Por meio de um estudo mais detalhado, os especialistas conseguiram rastrear o trojan até o seu criador, que descreveu o software malicioso como capaz de evitar as restrições de permissão nas atualizações mais recentes do sistema operacional Android.

O domínio utilizado para a distribuição do trojan, “hxxp://makingitorut[.]com”, foi identificado pelos pesquisadores do CRIL como um clone do site oficial de atualização do Chrome, apresentando várias similaridades marcantes.

O site falso induz os usuários a acreditar que uma atualização é imprescindível, apresentada como "essencial para proteger o navegador e solucionar vulnerabilidades críticas".

Um botão de download direciona os usuários para baixar o arquivo APK malicioso, denominado Chrome.apk, em seus dispositivos.

A análise revelou que o arquivo APK contém um novo trojan bancário para Android, equipado com uma ampla gama de comandos remotos, que incluem a coleta de informações de telefonia, registro de histórico de chamadas, ativação da tela do dispositivo, localização, gerenciamento de chamadas, além de gravação de tela e áudio.

O malware foi vinculado a um repositório git descrito como capaz de contornar limitações baseadas em permissão para as versões 13, 14 e 15 do Android.

O repositório oferecia links para perfis em fóruns clandestinos, uma página na rede Tor e um canal no Telegram.

A página na Tor redirecionava a vítima para a página pessoal dos desenvolvedores do malware, onde eles se apresentam e promovem um site que lista vários outros projetos que desenvolveram, incluindo verificadores, validadores, ladrões e ransomware.

Os analistas do CRIL sugerem que o Brokewell pode estar em estágios iniciais de desenvolvimento, possuindo, portanto, funcionalidades limitadas.

Atualmente, as técnicas de ataque se concentram em sobreposição de tela, captura de tela/áudio ou em keylogging, mas podem ser expandidas para incluir funcionalidades adicionais.

Foi observado que o malware realiza uma verificação para determinar se o dispositivo hospedeiro está enraizado.

Esse processo inclui a procura por nomes de pacotes de aplicativos verificadores de root, ferramentas de análise de tráfego de rede e ferramentas de análise de arquivos APK.

Caso detecte que o dispositivo não está enraizado, segue para solicitar ao usuário permissões de acessibilidade.

O serviço de acessibilidade é explorado para conceder ao aplicativo outras permissões, como "exibir sobre outros aplicativos" e "instalação de fontes desconhecidas".

Após adquirir as permissões necessárias, o aplicativo apresenta ao usuário uma tela falsa solicitando o PIN do dispositivo, simulando estar na Alemanha.

O PIN coletado é armazenado para uso futuro, juntamente com o envio de várias amostras do malware para análise no VirusTotal.

A referência à Alemanha leva os investigadores a crerem que o alvo principal do ataque seja este país.

Além do alemão, foram encontradas referências em chinês, francês, finlandês, árabe, indonésio, sueco, português e inglês, indicando uma possível expansão dos alvos do malware nas versões subsequentes, com a inclusão de novas funcionalidades.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...