Um novo backdoor para Android foi descoberto com capacidades potentes para realizar uma série de ações maliciosas em dispositivos infectados.
Apelidado de Xamalicious pela equipe de Pesquisa Móvel da McAfee, o malware recebe esse nome pelo fato de ser desenvolvido usando um framework de aplicativo móvel de código aberto chamado Xamarin e abusa das permissões de acessibilidade do sistema operacional para cumprir seus objetivos.
Ele também é capaz de coletar metadados sobre o dispositivo comprometido e entrar em contato com um servidor de comando e controle (C2) para buscar uma payload de segunda etapa, mas apenas depois de determinar se ele se encaixa no perfil.
A segunda etapa é “injetada dinamicamente como um assembly DLL no nível de tempo de execução para assumir o controle completo do dispositivo e potencialmente realizar ações fraudulentas, como clicar em anúncios, instalar aplicativos, entre outras ações financeiramente motivadas sem o consentimento do usuário", disse o pesquisador de segurança Fernando Ruiz.
A empresa de segurança cibernética disse que identificou 25 aplicativos que vêm com essa ameaça ativa, alguns dos quais foram distribuídos na Google Play Store oficial desde meados de 2020.
Estima-se que os aplicativos tenham sido instalados pelo menos 327.000 vezes.
A maioria das infecções foi relatada no Brasil, Argentina, Reino Unido, Austrália, EUA, México e outras partes da Europa e das Américas.
Alguns dos aplicativos são listados abaixo:
Xamalicious, que geralmente se disfarça como aplicativos de saúde, jogos, horóscopo e produtividade, é o mais recente de uma longa lista de famílias de malware que abusam dos serviços de acessibilidade do Android, solicitando aos usuários acesso a ele na instalação para realizar suas tarefas.
Para evitar análise e detecção, os autores do malware criptografam toda a comunicação e os dados transmitidos entre o C2 e o dispositivo infectado, não apenas protegidos por HTTPS, mas também criptografados como um token de criptografia web JSON (JWE) usando RSA-OAEP com um algoritmo 128CBC-HS256", observou Ruiz.
Ainda mais preocupante, a primeira etapa contém funções para autodepuração do arquivo principal do Android (APK), o que significa que pode ser transformado armas para atuar como um SpyWare ou um Trojan bancário sem qualquer interação do usuário.
A McAfee disse que identificou um link entre Xamalicious e um aplicativo de fraude de anúncios chamado Cash Magnet, que facilita o download de aplicativos e a atividade de clicker automático para ganhar receita ilegalmente clicando em anúncios.
"Aplicativos Android escritos em código não Java com estruturas como Flutter, react native e Xamarin podem fornecer uma camada adicional de ofuscação para os autores de malware que escolhem intencionalmente essas ferramentas para evitar a detecção e tentar permanecer sob o radar dos fornecedores de segurança e manter sua presença nos mercados de aplicativos", disse Ruiz.
A revelação surge quando a empresa de segurança cibernética detalhou uma campanha de phishing que emprega aplicativos de mensagens sociais como WhatsApp para distribuir arquivos APK fraudulentos que falsificam bancos legítimos, como o State Bank of India (SBI), e solicita ao usuário que os instale para completar um procedimento obrigatório Know Your Customer (KYC).
Uma vez instalado, o aplicativo pede ao usuário que conceda permissões relacionadas ao SMS e redireciona para uma página falsa que não só captura as credenciais da vítima, mas também suas informações de conta, cartão de crédito/débito e identidade nacional.
Os dados colhidos, juntamente com as mensagens de SMS interceptadas, são encaminhados para um servidor controlado pelo ator, permitindo ao adversário concluir transações não autorizadas.
Vale ressaltar que a Microsoft alertou no mês passado sobre uma campanha semelhante que utiliza o WhatsApp e o Telegram como vetores de distribuição para atingir usuários indianos de bancos online.
"A Índia sublinha a aguda ameaça representada por este malware bancário dentro da paisagem digital do país, com poucos casos encontrados em outras partes do mundo, possivelmente de usuários indianos do SBI vivendo em outros países", disseram os pesquisadores Neil Tyagi e Ruiz.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...