Pesquisadores de cibersegurança expuseram o funcionamento interno de um malware para Android chamado AntiDot, que comprometeu mais de 3.775 dispositivos como parte de 273 campanhas únicas.
"Operado pelo ator de ameaças com motivação financeira LARVA-398, o AntiDot é ativamente vendido como um Malware-a-a-Service (MaaS) em fóruns clandestinos e foi vinculado a uma ampla gama de campanhas móveis", disse a PRODAFT em um relatório compartilhado com a imprensa.
O AntiDot é anunciado como uma solução "três-em-um" com capacidades para gravar a tela do dispositivo, abusando dos serviços de acessibilidade do Android, interceptar mensagens SMS e extrair dados sensíveis de aplicações de terceiros.
A botnet Android é suspeita de ser entregue por meio de redes de publicidade maliciosas ou por campanhas de phishing altamente personalizadas, baseadas em atividades que indicam um direcionamento seletivo de vítimas com base em idioma e localização geográfica.
O AntiDot foi documentado publicamente pela primeira vez em maio de 2024, após ser visto sendo distribuído como atualizações do Google Play para realizar seus objetivos de roubo de informações.
Como outros cavalos de Troia para Android, ele apresenta uma ampla gama de capacidades para realizar ataques de sobreposição, registrar teclas digitadas e controlar remotamente dispositivos infectados usando a API MediaProjection do Android.
Ele também estabelece uma comunicação WebSocket para facilitar a comunicação bidirecional em tempo real entre o dispositivo infectado e um servidor externo.
Em dezembro de 2024, a Zimperium revelou detalhes de uma campanha de phishing móvel que distribuiu uma versão atualizada do AntiDot apelidada de AppLite Banker usando iscas temáticas de oferta de emprego.
As descobertas mais recentes da empresa suíça de cibersegurança mostram que há pelo menos 11 servidores de comando e controle (C2) ativos em operação que supervisionam não menos que 3.775 dispositivos infectados em 273 campanhas distintas.
Um malware baseado em Java em sua essência, o AntiDot é fortemente ofuscado usando um empacotador comercial para evitar detecção e esforços de análise.
O malware, segundo a PRODAFT, é entregue como parte de um processo de três etapas que começa com um arquivo APK.
"Uma inspeção do arquivo AndroidManifest revela que muitos nomes de classes não aparecem no APK original", disse a empresa.
"Essas classes ausentes são carregadas dinamicamente pelo empacotador durante a instalação e incluem código malicioso extraído de um arquivo criptografado.
Todo o mecanismo é intencionalmente criado para evitar detecção pelas ferramentas antivírus."
Uma vez lançado, ele exibe uma barra de atualização falsa e solicita à vítima que conceda permissões de acessibilidade, após o que ele descompacta e carrega um arquivo DEX incorporando as funções da botnet.
Um recurso central do AntiDot é sua capacidade de monitorar os aplicativos recém-lançados e servir uma tela de login falsa do servidor C2 quando a vítima abre um aplicativo relacionado a criptomoeda ou pagamento que os operadores estão interessados.
O malware também abusa dos serviços de acessibilidade para coletar extensas informações sobre o conteúdo das telas ativas e se configura como o app de SMS padrão para capturar textos recebidos e enviados.
Além disso, ele pode monitorar chamadas telefônicas, bloquear chamadas de números específicos ou redirecioná-las, abrindo efetivamente mais avenidas para fraudes.
Outro recurso importante é que ele pode acompanhar notificações em tempo real exibidas na barra de status do dispositivo e toma medidas para descartá-las ou adiá-las na tentativa de suprimir alertas e evitar alertar o usuário sobre atividades suspeitas.
A PRODAFT disse que o painel C2 que alimenta as funções de controle remoto é construído usando MeteorJS, um framework JavaScript de código aberto que possibilita comunicação em tempo real.
O painel possui seis abas diferentes:
- Bots, que exibe uma lista de todos os dispositivos comprometidos e seus detalhes
- Injects, que exibe uma lista de todos os aplicativos alvo para injeção de sobreposição e visualização do modelo de sobreposição para cada injeção
- Analytic, que exibe uma lista de aplicativos instalados nos dispositivos das vítimas e provavelmente usada para identificar novos aplicativos populares para o futuro direcionamento
- Settings, que contém as opções de configuração principais para o painel, incluindo a atualização das injeções
- Gates, que é usada para gerenciar os pontos de infraestrutura que os bots se conectam
- Help, que oferece recursos de suporte para o uso do malware
"O AntiDot representa uma plataforma MaaS escalável e evasiva projetada para ganho financeiro por meio do controle persistente de dispositivos móveis, especialmente em regiões localizadas e específicas de idioma", disse a empresa.
O malware também emprega injeção WebView e ataques de sobreposição para roubar credenciais, representando uma séria ameaça à privacidade do usuário e à segurança do dispositivo.
GodFather Retorna
O desenvolvimento chega enquanto a Zimperium zLabs disse ter descoberto uma "evolução sofisticada" do trojan bancário Android GodFather que usa virtualização no dispositivo para sequestrar aplicativos legítimos de bancos móveis e criptomoedas e realizar fraude em tempo real.
"O núcleo desta técnica inovadora é a capacidade do malware de criar um ambiente virtual completo e isolado no dispositivo da vítima.
Em vez de simplesmente imitar uma tela de login, o malware instala um aplicativo 'host' malicioso que contém um framework de virtualização", disseram os pesquisadores Fernando Ortega e Vishnu Pratapagiri.
Esse host então baixa e executa uma cópia do aplicativo bancário ou de criptomoedas visado dentro de sua sandbox controlada.
Se a vítima iniciar o aplicativo, ela é redirecionada para a instância virtual, de onde suas atividades são monitoradas pelos atores da ameaça.
Além disso, a versão mais recente do GodFather inclui recursos para burlar ferramentas de análise estática fazendo uso de manipulação de ZIP e preenchendo o arquivo AndroidManifest com permissões irrelevantes.
Como no caso do AntiDot, o GodFather depende dos serviços de acessibilidade para realizar suas atividades de coleta de informações e controle de dispositivos comprometidos.
Embora o Google tenha aplicado proteções de segurança que impedem aplicativos carregados lateralmente de habilitar serviços de acessibilidade a partir do Android 13, uma abordagem de instalação baseada em sessão pode contornar essa salvaguarda.
O método baseado em sessão é utilizado pelas lojas de aplicativos Android para tratar da instalação de aplicativos, assim como aplicativos de mensagens, clientes de email e navegadores quando apresentados com arquivos APK.
Central para o funcionamento do malware está sua característica de virtualização.
No primeiro estágio, ele coleta informações sobre a lista de aplicativos instalados e verifica se inclui algum dos aplicativos predeterminados que está configurado para mirar.
Se forem encontradas correspondências, ele extrai informações relevantes desses aplicativos e então procede para instalar uma cópia desses aplicativos em um ambiente virtual dentro do aplicativo gota.
Assim, quando a vítima tenta iniciar o aplicativo bancário real em seu dispositivo, o GodFather intercepta a ação e abre a instância virtualizada em seu lugar.
Vale ressaltar que recursos de virtualização semelhantes foram previamente assinalados em outro malware para Android codinome FjordPhantom, que foi documentado pela Promon em dezembro de 2023.
O método representa uma mudança de paradigma nas capacidades de ameaça móvel que vão além da tática tradicional de sobreposição para roubar credenciais e outros dados sensíveis.
"Enquanto esta campanha do GodFather lança uma rede ampla, mirando quase 500 aplicativos globalmente, nossa análise revela que este ataque de virtualização altamente sofisticado está atualmente focado em uma dúzia de instituições financeiras turcas", disse a empresa.
Uma capacidade particularmente alarmante descoberta no malware GodFather é sua capacidade de roubar credenciais de bloqueio do dispositivo, independentemente de a vítima usar um padrão de desbloqueio, um PIN ou uma senha.
Isso representa uma ameaça significativa à privacidade do usuário e à segurança do dispositivo.
A empresa de segurança móvel disse que o abuso dos serviços de acessibilidade é uma das muitas maneiras pelas quais aplicativos maliciosos podem alcançar escalonamento de privilégios no Android, permitindo-lhes obter permissões que excedem seus requisitos funcionais.
Isso inclui o mau uso de permissões de Fabricante de Equipamento Original (OEM) e vulnerabilidades de segurança em aplicativos pré-instalados que não podem ser removidos pelos usuários.
"Prevenir o escalonamento de privilégios e proteger os ecossistemas Android contra aplicativos maliciosos ou com privilégios excessivos requer mais do que a conscientização do usuário ou correções reativas – exige mecanismos de defesa proativos, escaláveis e inteligentes", disse o pesquisador de segurança Ziv Zeira.
Malware SuperCard X Chega à Rússia
As descobertas também seguem as primeiras tentativas registradas de visar usuários russos com o SuperCard X, um novo malware para Android que pode conduzir ataques de retransmissão de comunicação por campo de proximidade (NFC) para realizar transações fraudulentas.
De acordo com a empresa russa de cibersegurança F6, o SuperCard X é uma modificação maliciosa de uma ferramenta legítima chamada NFCGate que pode capturar ou modificar o tráfego NFC.
O objetivo final do malware é não apenas receber o tráfego NFC da vítima, mas também dados de cartão bancário lidos enviando comandos para seu chip EMV.
"Este aplicativo permite que os atacantes roubem dados de cartão bancário interceptando o tráfego NFC para subsequente roubo de dinheiro das contas bancárias dos usuários", disse o pesquisador Alexander Koposov em um relatório publicado esta semana.
Ataques aproveitando o SuperCard X foram detectados pela primeira vez mirando usuários de Android na Itália no início deste ano, instrumentalizando a tecnologia NFC para retransmitir dados de cartões físicos das vítimas para dispositivos controlados por atacantes, de onde foram usados para realizar saques fraudulentos em caixas eletrônicos ou autorizar pagamentos em pontos de vendas (PoS).
A plataforma MaaS de língua chinesa, anunciada no Telegram como capaz de mirar clientes de grandes bancos nos EUA, Austrália e Europa, compartilha substanciais sobreposições de código com o NGate, um malware para Android que também foi encontrado instrumentalizando o NFCGate para fins maliciosos na República Tcheca.
Todas essas campanhas são unidas pelo fato de que elas dependem de técnicas de smishing para convencer uma potencial vítima da necessidade de instalar um arquivo APK no dispositivo sob o pretexto de um programa útil.
Aplicativos Maliciosos Identificados nas Lojas de Aplicativos
Enquanto todas as cepas de malware mencionadas anteriormente requerem que as vítimas façam sideload dos aplicativos em seus dispositivos, novas pesquisas também descobriram aplicativos maliciosos na Google Play Store oficial e na App Store da Apple com capacidades para coletar informações pessoais e roubar frases mnemônicas associadas a carteiras de criptomoedas com o objetivo de drenar seus ativos.
Um dos aplicativos em questão, o RapiPlata, estima-se que tenha sido baixado cerca de 150.000 vezes em dispositivos Android e iOS, destacando a gravidade da ameaça.
O aplicativo é um tipo de malware conhecido como SpyLoan, que atrai usuários alegando oferecer empréstimos a taxas de juros baixas, apenas para submetê-los a extorsão, chantagem e roubo de dados.
"O RapiPlata tem como alvo principal os usuários colombianos, prometendo empréstimos rápidos", disse a Check Point.
Além de suas práticas de empréstimo predatórias, o aplicativo se envolve em extenso roubo de dados.
O aplicativo tinha acesso extenso a dados sensíveis do usuário — incluindo mensagens SMS, logs de chamadas, eventos de calendário e aplicativos instalados — chegando até a fazer upload desses dados para seus servidores.
Os aplicativos de phishing de carteira de criptomoedas, por outro lado, foram distribuídos por meio de contas de desenvolvedor comprometidas e servem uma página de phishing via WebView para obter as frases semente.
Embora esses aplicativos tenham sido removidos das respectivas lojas de aplicativos desde então, o perigo é que os aplicativos Android possam estar disponíveis para download em marketplaces de aplicativos de terceiros.
Aconselha-se que os usuários exerçam cautela ao baixar aplicativos financeiros ou relacionados a empréstimos.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...