Pesquisadores de cibersegurança revelaram detalhes de duas novas famílias de malware para Android, chamadas FvncBot e SeedSnatcher, além de uma versão atualizada do ClayRat, detectada novamente em ambiente real.
As descobertas foram divulgadas, respectivamente, pelas empresas Intel 471, CYFIRMA e Zimperium.
O FvncBot se disfarça como um aplicativo de segurança supostamente desenvolvido pelo banco polonês mBank, com foco em usuários de mobile banking na Polônia.
Diferente de outros trojans bancários para Android, como o ERMAC, cujo código-fonte vazou, o FvncBot foi criado totalmente do zero.
Segundo a Intel 471, ele incorpora múltiplas funcionalidades, incluindo keylogging por meio do abuso dos serviços de acessibilidade do Android, ataques web-inject, streaming da tela e o uso de um sistema oculto de Virtual Network Computing (HVNC) para realizar fraudes financeiras.
Semelhante ao malware bancário Albiriox, o FvncBot é protegido por um serviço de criptografia chamado apk0day, fornecido pela Golden Crypt.
O app malicioso atua como dropper, instalando o payload do malware embutido assim que iniciado.
O usuário é induzido a instalar um componente da Google Play, supostamente para garantir a segurança do app, mas que na verdade serve para implantar o malware por meio de uma abordagem baseada em sessões — uma técnica comum para burlar restrições de acessibilidade em dispositivos Android a partir da versão 13.
Durante sua execução, o malware envia eventos de log para um servidor remoto hospedado no domínio naleymilva.it.com, permitindo que os operadores monitorem o status do bot.
O identificador “call_pl” sinaliza a Polônia como país-alvo, enquanto a versão 1.0-P indica que o malware ainda está em estágio inicial de desenvolvimento.
O FvncBot solicita permissão para usar os serviços de acessibilidade, ganhando privilégios elevados para se conectar a um servidor externo via HTTP, registrar o dispositivo infectado e receber comandos por meio do serviço Firebase Cloud Messaging (FCM).
Entre as funcionalidades oferecidas estão o controle remoto via WebSocket para navegação na tela, exfiltração de eventos de acessibilidade, lista de apps instalados, informações do dispositivo e configurações do bot.
Ele também pode exibir overlays maliciosos nas telas de apps específicos para capturar dados sensíveis, ocultar esses overlays, verificar o status dos serviços de acessibilidade, registrar teclas digitadas e usar a API MediaProjection para transmitir a tela.
Uma função de “modo texto” permite inspecionar o layout e o conteúdo da tela mesmo quando aplicativos bloqueiam capturas configurando o FLAG_SECURE.
Embora a forma de distribuição do FvncBot ainda seja incerta, trojans bancários para Android costumam se propagar via phishing por SMS e lojas de apps de terceiros.
A Intel 471 reforça que, apesar de os serviços de acessibilidade terem sido criados para ajudar usuários com deficiência, eles podem ser explorados para monitorar atividades e sobrepor conteúdos na tela.
Apesar do foco inicial em usuários poloneses, há risco de o malware ser adaptado para outras regiões e instituições.
Já o SeedSnatcher, que circula no Telegram sob o nome “Coin”, tem como principal objetivo roubar seed phrases de carteiras de criptomoedas.
Ele também pode interceptar mensagens SMS para roubar códigos de autenticação de dois fatores (2FA), além de capturar dados do dispositivo, contatos, registros de chamadas, arquivos e informações confidenciais por meio de overlays phishing.
Instruções em chinês e o painel de controle indicam que os operadores provavelmente são falantes do idioma, possivelmente baseados na China.
De acordo com a CYFIRMA, o SeedSnatcher emprega técnicas avançadas de evasão, como carregamento dinâmico de classes, injeção furtiva de conteúdo em WebView e comandos codificados em inteiro.
Inicialmente, pede poucas permissões, como acesso a SMS, mas depois eleva seus privilégios para acessar gerenciador de arquivos, criar overlays, contatos e registros telefônicos, entre outros.
Paralelamente, a Zimperium zLabs descobriu uma versão aprimorada do ClayRat, que agora abusa dos serviços de acessibilidade e explora permissões padrão de SMS para se tornar uma ameaça mais potente.
Essa versão consegue gravar teclas digitadas e a tela, exibir overlays que simulam atualizações do sistema para ocultar atividades maliciosas e criar notificações falsas para roubar informações do usuário.
O ClayRat tem sido distribuído por meio de 25 domínios phishing que imitam serviços legítimos, como YouTube, prometendo uma versão Pro com reprodução em background e suporte a 4K HDR.
Além disso, dropper apps responsáveis pela propagação do malware simulam aplicativos russos de táxi e estacionamento.
As novas capacidades da versão atualizada do ClayRat permitem controle total do dispositivo por meio do abuso dos serviços de acessibilidade, desbloqueio automático da tela, gravação, coleta de notificações e manutenção de overlays persistentes.
Pesquisadores destacam que, ao contrário da versão anterior, o novo ClayRat dificulta que a vítima desinstale o app ou desligue o dispositivo após detectar a infecção.
Esses avanços ressaltam a necessidade de cuidado redobrado ao utilizar dispositivos móveis, especialmente ao baixar apps fora das lojas oficiais, acessar links suspeitos e conceder permissões sensíveis.
As ameaças evoluem rapidamente e exploram funcionalidades legítimas para causar danos significativos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...