Uma campanha de malware para Android direcionada a bancos iranianos expandiu suas capacidades e incorporou táticas de evasão adicionais para passar despercebida.
Isso de acordo com um novo relatório da Zimperium, que descobriu mais de 200 aplicativos maliciosos associados à operação maliciosa, com o ator da ameaça também realizando ataques de phishing contra as instituições financeiras alvo.
A campanha veio à luz pela primeira vez no final de julho de 2023 quando a Sophos detalhou um grupo de 40 aplicativos de coleta de credenciais destinados aos clientes do Bank Mellat, Bank Saderat, Resalat Bank, e do Banco Central do Irã.
O objetivo principal dos aplicativos falsos é enganar as vítimas para que concedam a eles permissões extensas, além de coletar credenciais de login bancário e detalhes de cartão de crédito, abusando dos serviços de acessibilidade do Android.
"As versões legítimas correspondentes dos aplicativos maliciosos estão disponíveis na Cafe Bazaar, um mercado Android iraniano, e têm milhões de downloads", disse o pesquisador da Sophos, Pankaj Kohli, na época.
"As imitações maliciosas, por outro lado, estavam disponíveis para download em um grande número de domínios relativamente novos, alguns dos quais foram também utilizados pelos atores da ameaça como servidores C2."
Alguns desses domínios também foram observados servindo páginas de phishing em HTML projetadas para roubar credenciais de usuários móveis.
As descobertas mais recentes da Zimperium ilustram a evolução contínua da ameaça, não apenas em termos de um conjunto mais amplo de bancos e aplicativos de carteira de criptomoedas direcionados, mas também incorporando recursos anteriormente não documentados que a tornam mais eficaz.
Isso inclui o uso do serviço de acessibilidade para conceder permissões adicionais para interceptar mensagens SMS, impedir desinstalação, e clicar em elementos da interface do usuário.
Algumas variantes do malware também foram encontradas para acessar um arquivo README dentro de repositórios GitHub para extrair uma versão codificada em Base64 do servidor de comando e controle (C2) e URLs de phishing.
"Isto permite aos atacantes responder rapidamente a sites de phishing sendo desativados atualizando o repositório GitHub, garantindo que os aplicativos maliciosos estejam sempre obtendo o site de phishing ativo mais recente", disseram os pesquisadores da Zimperium, Aazim Yaswant e Vishnu Pratapagiri.
Uma tática digna de nota é o uso de servidores C2 intermediários para hospedar arquivos de texto que contêm as strings codificadas que apontam para os sites de phishing.
Enquanto a campanha até agora concentrou seus esforços no Android, há provas de que o sistema operacional iOS da Apple também é um alvo potencial, baseado no fato de que os sites de phishing verificam se a página é aberta por um dispositivo iOS, e se for, direciona a vítima para um site que imita a versão iOS do aplicativo Bank Saderat Iran.
Atualmente não está claro se a campanha do iOS está em fase de desenvolvimento, ou se os aplicativos são distribuídos por uma fonte ainda não identificada.
As campanhas de phishing não são menos sofisticadas, imitando os sites reais para exfiltrar credenciais, números de contas, modelos de dispositivos e endereços IP para dois canais do Telegram controlados pelos atores.
"É evidente que o malware moderno está se tornando mais sofisticado, e os alvos estão se expandindo, por isso a visibilidade e a proteção em tempo real são cruciais para as aplicações móveis", disseram os pesquisadores.
O desenvolvimento surge pouco mais de um mês depois que o Fingerprint demonstrou um método pelo qual os aplicativos Android maliciosos podem acessar e copiar dados da área de transferência de forma furtiva, explorando a permissão SYSTEM_ALERT_WINDOW para obscurecer a notificação toast que é exibida quando um aplicativo específico está lendo dados da área de transferência.
"É possível sobrescrever um toast com outro toast ou com qualquer outra visão, escondendo completamente o toast original pode evitar que o usuário seja notificado de ações da área de transferência", disse a Fingerprint.
"Qualquer aplicativo com a permissão SYSTEM_ALERT_WINDOW pode ler dados da área de transferência sem notificar o usuário."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...