Pesquisadores de cibersegurança descobriram uma nova campanha de malware para dispositivos móveis em larga escala que está mirando plataformas Android e iOS com aplicativos falsos de namoro, redes sociais, armazenamento em nuvem e serviços de carro para roubar dados pessoais sensíveis.
A ameaça multiplataforma foi apelidada de SarangTrap pela Zimperium zLabs.
Usuários na Coreia do Sul parecem ser o foco principal.
"Esta extensa campanha envolveu mais de 250 aplicações maliciosas para Android e mais de 80 domínios maliciosos, todos disfarçados de legítimos aplicativos de namoro e redes sociais", disse o pesquisador de segurança Rajat Goyal.
Os domínios falsos, que imitam páginas legítimas de listagem de aplicativos, são usados como isca para enganar usuários a instalar estes aplicativos, resultando na exfiltração de listas de contatos e imagens, tudo enquanto mantêm uma ilusão de legitimidade.
Uma vez instalados, os aplicativos para Android também solicitam a vítima que entre um código de convite, após o qual é validado contra um servidor de comando-e-controle (C2).
O aplicativo então prossegue para solicitar permissões sensíveis que permitem o acesso a mensagens SMS, listas de contatos e arquivos sob o pretexto de oferecer a funcionalidade anunciada.
Acoplar a ativação do comportamento malicioso a um código de convite é, por sua vez, inteligente e sorrateiro, pois permite que o malware evite análises dinâmicas e varreduras de antivírus e silentemente colete dados.
A versão iOS da campanha foi encontrada tentando seduzir os usuários a instalar um perfil de configuração móvel enganoso no dispositivo, e então usar a configuração para facilitar a instalação do aplicativo para capturar contatos, fotos e a biblioteca de fotos.
A campanha é dita como estando em ativo desenvolvimento, com novas variantes das amostras de malware limitando-se a coletar contatos, imagens e informações do dispositivo para um servidor externo.
Há também evidências de que os atores de ameaças por trás da atividade recorreram à chantagem das vítimas com ameaças de compartilhar vídeos pessoais com membros da família.
"Esta história inquietante não é um incidente isolado; destaca a manipulação psicológica e táticas de engenharia social que estas campanhas empregam para tirar vantagem da vulnerabilidade emocional", disse Goyal.
As vítimas são seduzidas a instalar malware com a promessa de companheirismo, apenas para descobrir que estão presas em um ciclo de vigilância, extorsão e humilhação.
A divulgação vem na esteira de outra campanha que configurou 607 domínios em língua chinesa para distribuir arquivos de aplicativos maliciosos (APKs) fingindo ser o aplicativo de mensagens Telegram através de um código QR incorporado no site e executar comandos remotos em tempo real para permitir o roubo de dados, vigilância e controle sobre o dispositivo usando a API MediaPlayer.
"O APK foi assinado com um esquema de assinatura v1, tornando-o vulnerável à vulnerabilidade Janus no Android 5.0 – 8.0", disse BforeAI.
Esta vulnerabilidade permite aos atacantes criar aplicações enganosas. Após criar a aplicação maliciosa, ela é então reembalada usando sua assinatura v1 original.
Essa modificação passa despercebida, permitindo que o aplicativo comprometido seja instalado sem causar suspeita.
Essencialmente, permite que os atacantes tornem um aplicativo mais perigoso, redistribuam-no como um APK e enganem os usuários (especialmente em dispositivos mais antigos) a instalá-lo enquanto contornam completamente as verificações de segurança.
Imitar plataformas online confiáveis e populares tem sido um vetor de comprometimento bem-sucedido, como evidenciado por campanhas para Android que estão mirando clientes de bancos indianos e usuários que falam bengali, particularmente pessoas de Bangladesh vivendo na Arábia Saudita, Malásia e Emirados Árabes Unidos, com aplicativos maliciosos fingindo ser serviços financeiros distribuídos via sites de phishing e páginas no Facebook.
Os aplicativos são projetados para enganar os usuários a entrar suas informações pessoais como parte de um suposto processo de criação de conta, bem como capturar dados fornecidos por eles nas interfaces falsas de transações projetadas para simular transferências de dinheiro móvel, pagamentos de contas e transferências bancárias.
Na realidade, nenhuma transação real é realizada.
"Embora as técnicas de ataque não sejam novas, o alvo cultural da campanha e a atividade sustentada refletem como os criminosos cibernéticos continuam a adaptar suas estratégias para alcançar comunidades específicas", disse o pesquisador do McAfee Labs, Dexter Shin.
O malware disseminado pela imitação de serviços bancários indianos, por sua vez, utiliza Firebase para operações de C2 e utiliza páginas de phishing para imitar interfaces de usuário genuínas e colher uma ampla gama de dados, incluindo detalhes de cartões de débito e informações de SIM.
Ele também possui funções de encaminhamento de chamadas e chamadas remotas.
Outro país asiático que se tornou alvo de ataques de malware para Android é o Vietnã, onde sites de phishing fingindo ser instituições financeiras e governamentais estão sendo usados para propagar um novo trojan bancário chamado RedHook.
"Ele se comunica com o servidor de comando-e-controle (C2) usando WebSocket e suporta mais de 30 comandos remotos, permitindo controle total sobre dispositivos comprometidos", disse Cyble.
Artefatos de código, incluindo strings em língua chinesa, sugerem desenvolvimento por um ator ou grupo que fala chinês. Uma característica notável do RedHook é sua combinação de capacidades de keylogging e trojan de acesso remoto (RAT) para realizar o roubo de credenciais e fraudes financeiras.
Ele também abusa dos serviços de acessibilidade do Android para realizar ataques de sobreposição e utiliza a API MediaProjection para capturar conteúdo da tela.
Embora a campanha seja nova, um balde AWS S3 exposto usado pelo ator da ameaça revelou capturas de tela carregadas, modelos bancários falsos, documentos PDF e imagens detalhando o comportamento do malware datado de 27 de novembro de 2024.
"A descoberta do RedHook destaca a crescente sofisticação dos trojans bancários para Android que combinam phishing, acesso remoto e keylogging para realizar fraudes financeiras", acrescentou a empresa.
"Ao aproveitar APIs Android legítimas e abusar das permissões de acessibilidade, o RedHook ganha controle profundo sobre dispositivos infectados enquanto permanece sob o radar de muitas soluções de segurança."
APKs maliciosos para Android se passando por marcas populares e explorando engenharia social e canais de distribuição fora do mercado também foram encontrados para desviar dados e sequestrar tráfego de rede para fins de monetização, muitas vezes com o objetivo final de simular atividade do usuário para inflar métricas de anúncios ou redirecionar usuários através de funis de afiliados para geração de receita ilícita.
Além de incorporar verificações para ambientes enjaulados e virtualizados, os aplicativos apresentam um design modular para ativar funcionalidades avançadas à vontade.
"Ele utiliza a ferramenta de código aberto ApkSignatureKillerEx para subverter o processo de verificação de assinatura nativa do Android, permitindo a injeção de um payload secundário (origin.apk) no diretório do aplicativo", disse Trustwave SpiderLabs.
Isso efetivamente redireciona a execução para código malicioso enquanto preserva a aparência do aplicativo como um pacote legítimo e devidamente assinado, tanto para o sistema operacional quanto para os usuários.
A campanha não foi atribuída a nenhum ator ou grupo de ameaças conhecido, embora o uso de táticas de fraude de anúncios sugira uma possível conexão com grupos criminosos que falam chinês.
Isso não é tudo.
Pesquisas recentes da iVerify revelaram que configurar novas campanhas focadas no Android pode ser tão fácil quanto alugar um kit de malware-como-serviço (MaaS) como PhantomOS ou Nebula por uma assinatura mensal, diminuindo ainda mais a barreira para o cibercrime.
"Alguns desses kits vêm com recursos como interceptação de 2FA, a capacidade de burlar software antivírus, instalações silenciosas de aplicativos, rastreamento GPS e até mesmo sobreposições de phishing específicas para uma marca", disse o pesquisador Daniel Kelley.
"As plataformas vêm com tudo o que eles precisam, como suporte através do Telegram, infraestrutura de backend, e formas embutidas de contornar o Google Play Protect." Também são oferecidos em fóruns clandestinos criptografadores e kits de exploração que permitem que o malware permaneça sob o radar e espalhe as infecções em larga escala usando técnicas de engenharia social.
Uma dessas ferramentas é o Android ADB Scanner, que procura por portas Android Debug Bridge (ADB) abertas e empurra um arquivo APK malicioso sem o conhecimento da vítima.
O serviço está disponível por cerca de $600-$750.
"Talvez o desenvolvimento mais interessante neste ecossistema seja a comoditização dos próprios dispositivos infectados", observou Kelley.
"Os chamados mercados de 'instalação' permitem que os cibercriminosos comprem acesso a dispositivos Android já comprometidos em massa." Mercados como Valhalla oferecem dispositivos comprometidos por trojans bancários como ERMAC, Hook, Hydra e Octo em um país escolhido por uma taxa.
Essa abordagem elimina a necessidade de atacantes distribuírem malware ou infectarem dispositivos por conta própria.
Em vez disso, eles podem simplesmente adquirir uma rede de bots existentes para realizar atividades de sua escolha.
Para mitigar os riscos apresentados por tais aplicativos, é aconselhável permanecer cauteloso com aplicativos que requerem permissões incomuns ou códigos de convite, evitar baixar aplicativos de fontes não confiáveis ou lojas de aplicativos não oficiais e revisar periodicamente as permissões do dispositivo e os perfis instalados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...