Diversos clientes europeus de diferentes bancos estão sendo alvo de um trojan bancário Android chamado SpyNote, como parte de uma campanha agressiva detectada em junho e julho de 2023.
"O spyware é distribuído por meio de campanhas de phishing por e-mail ou smishing e as atividades fraudulentas são executadas com uma combinação de capacidades de trojan de acesso remoto (RAT) e ataques vishing", disse a empresa de cibersegurança italiana Cleafy em uma análise técnica divulgada na segunda-feira.
SpyNote, também chamado de SpyMax, é semelhante a outros trojans bancários Android pelo fato de necessitar das permissões de acessibilidade do Android para conceder a si mesmo outras permissões necessárias e coletar dados sensíveis dos dispositivos infectados.
O que torna a cepa de malware notável são suas funções duplas como spyware e a realização de fraudes bancárias.
As cadeias de ataque começam com uma falsa mensagem SMS incitando os usuários a instalar um aplicativo bancário clicando no link que acompanha, redirecionando a vítima para o aplicativo TeamViewer QuickSupport disponível na Google Play Store.
"O TeamViewer tem sido adotado por vários agentes de ameaça para executar operações fraudulentas através de ataques de engenharia social", destacou o pesquisador de segurança Francesco Iubatti.
“Em particular, o invasor liga para a vítima, se passando por operadores bancários, e realiza transações fraudulentas diretamente no dispositivo da vítima”.
A ideia é utilizar o TeamViewer como um meio para obter acesso remoto ao telefone da vítima e instalar furtivamente o malware.
Os vários tipos de informações coletadas pelo SpyNote incluem dados de geolocalização, teclas digitadas, gravações de tela e mensagens SMS para burlar a autenticação de dois fatores baseada em SMS (2FA).
A revelação surge enquanto a operação hack-for-hire conhecida como Bahamut tem sido associada a uma nova campanha voltada para indivíduos nas regiões do Oriente Médio e Sul da Ásia com o objetivo de instalar um aplicativo de chat fictício chamado SafeChat que esconde um malware Android apelidado de CoverIm.
Entregue às vítimas via WhatsApp, o aplicativo possui características idênticas às do SpyNote, solicitando permissões de acessibilidade e outras para coletar registros de chamadas, contatos, arquivos, localização, mensagens SMS, além de instalar aplicativos adicionais e roubar dados do Facebook Messenger, imo, Signal, Telegram, Viber e WhatsApp.
Cyfirma, que descobriu a última atividade, disse que as táticas usadas por esse agente de ameaça se sobrepõem a outro agente de estado-nação conhecido como DoNot Team, que foi recentemente observado utilizando aplicativos Android não confiáveis publicados na Play Store para infectar indivíduos localizados no Paquistão.
Embora as especificidades exatas do aspecto de engenharia social do ataque não estejam claras, sabe-se que o Bahamut recorre a personagens fictícios no Facebook e Instagram, fingindo ser recrutadores de tecnologia em grandes empresas de tecnologia, jornalistas, estudantes e ativistas para enganar usuários desavisados a baixar malware em seus dispositivos.
"O Bahamut usou uma variedade de táticas para hospedar e distribuir malware, incluindo a execução de uma rede de domínios maliciosos que afirmam oferecer chat seguro, compartilhamento de arquivos, serviços de conectividade ou aplicativos de notícias", revelou a Meta em maio de 2023.
"Alguns deles falsificaram os domínios de veículos de imprensa regional, organizações políticas ou lojas de aplicativos legítimas, provavelmente para fazer seus links parecerem mais legítimos."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...