Um novo trojan bancário que mira dispositivos Android foi identificado pelo Cyble Research and Intelligence Labs (CRIL).
Em um estudo lançado na última quinta-feira, dia 16, o CRIL caracterizou o malware como avançado, destacando uma variedade de funcionalidades perniciosas que incluem overlay attacks, keylogging e capacidades de ofuscação.
Os analistas batizaram o trojan de Antidot, uma referência a uma cadeia de caracteres encontrada no seu código.
Ele se camufla como uma atualização do Google Play, exibindo uma falsa página de atualização dessa loja de aplicativos depois de ser instalado.
A Cyble destacou que a página fraudulenta de atualização está disponível em diversos idiomas, contemplando alemão, francês, espanhol, russo, português, romeno e inglês.
Isso indica que o alvo são usuários Android de várias partes do mundo.
Na referida página, um botão "continuar" direciona o usuário para as configurações de acessibilidade do dispositivo Android.
Assim que o usuário concede permissão de acessibilidade ao serviço, o vírus envia um primeiro alerta "ping" ao servidor junto com dados codificados em Base64.
Esses dados abrangem o nome do aplicativo malicioso, versão do *software development kit* (SDK), modelo e fabricante do telefone, idioma, código do país e a lista de pacotes de aplicativos instalados.
Em segundo plano, o malware inicia a comunicação com seu servidor de comando e controle (C&C).
Além da conexão HTTP, o trojan estabelece uma comunicação WebSocket através da biblioteca socket.io, possibilitando uma comunicação em tempo real e bidirecional entre o servidor e o "cliente".
O malware mantém essa comunicação por intermédio de mensagens "ping" e "pong".
Após o servidor atribuir o ID do bot, o Antidot Banking trojan envia estatísticas do bot para o servidor e aguarda comandos.
O vírus foi programado para executar até 35 comandos diferentes, que vão desde a coleta de mensagens SMS à iniciação de solicitações USSD, e até mesmo o controle remoto de funções do dispositivo, como a câmera e o bloqueio da tela.
O malware reúne diversos recursos que facilitam o lançamento de uma série de atividades maléficas, incluindo computação em rede virtual (*Virtual Network Computing - VNC*), registro de teclas, captura de tela, redirecionamento de chamadas, bloqueio e desbloqueio do aparelho, entre outras.
"A adoção de técnicas de ofuscação de strings, criptografia e o uso estratégico de páginas de atualização fraudulentas pelo Antidot evidencia uma estratégia deliberada com o intuito de eludir a detecção e estender seu alcance para várias regiões de língua não inglesa", assinalaram os pesquisadores da Cyble.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...