Pesquisadores em cybersecurity descobriram uma nova variante de um trojan bancário para Android chamado HOOK, que utiliza telas de overlay no estilo ransomware para exibir mensagens de extorsão.
"Uma característica marcante da última variante é a capacidade de exibir um overlay em tela cheia no estilo ransomware, que tem como objetivo coagir a vítima a realizar um pagamento de resgate", afirmou Vishnu Pratapagiri, pesquisador do Zimperium zLabs.
Esse overlay apresenta uma mensagem de 'WARNING' alarmante, junto com um endereço de wallet e um valor, ambos recuperados dinamicamente do servidor de command-and-control (C2).
A empresa de segurança móvel explica que o overlay é iniciado remotamente quando o comando "ransome" é enviado pelo servidor C2.
O overlay pode ser removido pelo atacante mediante o envio do comando "delete_ransome".
O HOOK é considerado uma ramificação do trojan bancário ERMAC, cujo código-fonte foi vazado em um diretório publicamente acessível na internet.
Assim como outros malwares bancários que têm como alvo o Android, ele é capaz de exibir uma tela de overlay falsa sobre apps financeiros para roubar credenciais dos usuários, além de abusar dos serviços de acessibilidade do Android para automatizar fraudes e controlar dispositivos remotamente.
Outros recursos importantes incluem a habilidade de enviar mensagens SMS para números específicos, transmitir a tela da vítima, capturar fotos pela câmera frontal e roubar cookies e frases de recuperação associadas a wallets de criptomoedas.
De acordo com o Zimperium, a última versão representa um avanço significativo, suportando 107 comandos remotos, dos quais 38 são recém-adicionados.
Entre eles estão overlays transparentes para capturar gestos do usuário, overlays falsos de NFC para enganar vítimas e coletar dados sensíveis, e prompts enganosos para obter PIN ou padrão de bloqueio da tela.
A lista dos novos comandos inclui:
- takenfc: exibe uma tela falsa de escaneamento NFC usando overlay WebView em tela cheia para ler dados do cartão
- unlock_pin: exibe uma tela falsa de desbloqueio do dispositivo para coletar padrão ou código PIN e obter acesso não autorizado
- takencard: exibe um overlay falso que imita a interface do Google Pay para coletar informações de cartão de crédito
- start_record_gesture: captura gestos do usuário exibindo um overlay transparente em tela cheia
Acredita-se que o HOOK seja distribuído em larga escala utilizando sites de phishing e repositórios falsos no GitHub para hospedar e disseminar arquivos APK maliciosos.
Outras famílias de malware para Android, como ERMAC e Brokewell, também foram encontradas sendo distribuídas via GitHub, indicando uma adoção mais ampla entre atores maliciosos.
"A evolução do HOOK ilustra como trojans bancários estão rapidamente convergindo com técnicas de spyware e ransomware, borrando as categorias de ameaças", destacou o Zimperium.
Com a expansão contínua de funcionalidades e ampla distribuição, essas famílias representam um risco crescente para instituições financeiras, empresas e usuários finais.
Anatsa Continua a Evoluir
A divulgação ocorre enquanto a ThreatLabs da Zscaler detalha uma versão atualizada do trojan bancário Anatsa, que expandiu seu foco para atacar mais de 831 serviços bancários e de criptomoedas globalmente, incluindo Alemanha e Coreia do Sul, ante os 650 reportados anteriormente.
Um dos apps envolvidos foi identificado como uma imitação de um gerenciador de arquivos (package name: "com.synexa.fileops.fileedge_organizerviewer"), que funciona como dropper para instalar o Anatsa.
Além de substituir o carregamento dinâmico de payloads Dalvik Executable (DEX) remotos, o malware utiliza arquivos corrompidos para ocultar o payload DEX executado em runtime.
O Anatsa também solicita permissões para os serviços de acessibilidade do Android, que são abusados para garantir permissões adicionais que permitem enviar e receber mensagens SMS, além de desenhar conteúdos sobre outros apps para exibir janelas de overlay.
No total, a empresa identificou 77 apps maliciosos pertencentes a famílias de adware, maskware e malware, como Anatsa, Joker e Harly, na Google Play Store, acumulando mais de 19 milhões de instalações.
Maskware se refere a um tipo de aplicativo que se apresenta como legítimo em lojas, mas emprega técnicas de obfuscação, carregamento dinâmico de código ou cloaking para esconder conteúdo malicioso.
Harly é uma variante do Joker que foi inicialmente detectada pela Kaspersky em 2022.
Ainda em março, a Human Security relatou ter encontrado 95 apps maliciosos contendo Harly hospedados na Google Play Store.
"Anatsa continua evoluindo e aprimorando técnicas anti-análise para escapar melhor da detecção", afirmou Himanshu Sharma, pesquisador de segurança.
O malware também adicionou suporte para mais de 150 novos aplicativos financeiros como alvos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...