Pesquisadores descobriram um novo trojan bancário para Android que possui semelhanças com o infame Lokibot – mas repleto de novos recursos, sendo ainda mais notável a sua capacidade de implementar um ataque de sobreposição (overlay) no Android 7 e 8.
Uma equipe de pesquisadores do ThreatFabric, que descobriram o trojan, disseram que o MysteryBot estava rodando no mesmo servidor C&C que o trojan bancário LokiBot, descoberto em 2017, sugerindo que ele é uma atualização do malware anterior ou foi desenvolvido pelo mesmo ator. O novo trojan ainda está em desenvolvimento e não é amplamente divulgado, disseram os pesquisadores.
O bot vem com funcionalidades genéricas de trojans bancários do Android – uma vez que um dispositivo está infectado, por exemplo, o agente malicioso pode usar módulos do MysteryBot para fazer chamadas telefônicas, colher informações de lista de contatos, copiar as teclas digitadas e criptografar arquivos em dispositivos de armazenamento externos.
No entanto, os pesquisadores disseram que há muito mais nessa história: “Esse bot tem as funcionalidades mais genéricas de um trojan para Android, mas parece estar disposto a superar a média. As funcionalidades de overlay, key-logging e ransomware são novas”, informaram em um post. “Olhando para os comandos do bot, primeiro pensamos que o LokiBot foi melhorado. No entanto, percebemos rapidamente que existem mais coisas acontecendo: o nome do bot e o nome do painel mudaram para “MysteryBot” [e] até mesmo a comunicação da rede mudou.”
Um porta-voz da ThreatFabric disse ao Threatpost que, no momento, o trojan é espalhado via phishing enquanto carrega o payload. “O truque de engenharia social comumente usado do falso Flash Player é também utilizado na campanha de distribuição”, disse o porta-voz.
O ThreatFabric descobriu o MysteryBot há duas semanas e, embora os pesquisadores não possam dizer que ele foi muito ativo (menos de 200 infecções), nos disseram acreditar que ele será distribuído ainda mais quando estiver totalmente funcional.
Um componente exclusivo do MysteryBot é a sua abordagem aos ataques de sobreposição, que permite que os invasores usem outros aplicativos em execução nos dispositivos infectados. Isso significa que eles podem sobrepor páginas de phishing em aplicativos legítimos.
O Android 7 e 8 possuem proteções de segurança como o Security-Enhanced Linux (SELinux), tornando inacessíveis técnicas de sobreposição usadas anteriormente, disseram os pesquisadores. Essas proteções impedem que o malware exiba páginas falsas em aplicativos. Isso deixou as famílias de malware, como o ExoBot 2.5 e o DiseaseBot, buscando novas técnicas de sobreposição – mas o MysteryBot parece ter encontrado uma solução.
Especificamente, o bot abusa de uma falha na permissão de serviço do Android (PACKAGE_USAGE_STATS), também conhecida como permissão de “Usage Access”, que é um recurso do software Android que mostra estatísticas relacionadas ao uso de aplicativos. Normalmente, a vítima precisa fornecer permissões específicas para o uso, mas o MysteryBot emprega o AccessibilityService, que permite abusar de qualquer permissão necessária sem o consentimento da vítima. O Android disse que os serviços de acessibilidade normalmente são usados para auxiliar usuários com deficiências no uso de dispositivos e aplicativos Android.
Curiosamente, ele pede para as vítimas concederem permissões do Serviço de Acessibilidade depois de instalar o malware.
“Parece que a razão para as vítimas concederem tais permissões é o número de aplicativos benignos que atualmente pedem um conjunto exaustivo de permissões – o que torna comum que os usuários concedam permissões sem revisar as permissões solicitadas”, disseram os pesquisadores. “No momento, o MysteryBot não está usando um M.O. para obter a permissão Usage Access, mas pedirá diretamente à vítima.”
O bot abusou desse recurso para direcionar ataques de sobreposição a mais de 100 aplicativos, incluindo o WhatsApp e o Facebook.
Outros Recursos do Bot
O bot também parece ter inovado as funcionalidades do keylogging, reduzindo efetivamente as taxas de detecção e limitando a interação do usuário necessária para ativar o logger.
Enquanto a maioria dos trojans abusa do Serviço de Acessibilidade do Android para registrar as teclas digitadas ou fazer capturas de tela após pressionar as teclas, o mecanismo de registro do MysteryBot usa a permissão do Serviço de Acessibilidade para fazer isso diretamente após a instalação do malware.
Essencialmente, o método calcula a localização de cada linha e coloca uma “View” sobre cada chave. Cada “view” é então emparelhada com uma chave específica, de tal forma que pode registrar as chaves que foram pressionadas, sendo salvas para uso posterior, disseram os pesquisadores.
Embora essa técnica exija mais interação do usuário (ou seja, solicitar a permissão do Serviço de Acessibilidade) para ser bem-sucedida, ela também tem o potencial de registrar mais do que as teclas pressionadas habitualmente.
“No momento da escrita, o código para o keylogger parece ainda estar em desenvolvimento, já que ainda não há um método para enviar os logs para o servidor C2”, disseram os pesquisadores.
Pensando além: o recurso aprimorado de ataque de sobreposição pode ser usado para executar nas versões mais recentes do Android; isso, combinado com os recursos avançados de keylogging, permitirá ao MysteryBot “coletar um amplo conjunto de informações pessoalmente identificáveis para realizar fraudes”, disseram os pesquisadores.
O MysteryBot também inclui um módulo de ransomware, que inclui um novo recurso que permite que o trojan criptografe todos os arquivos individualmente no diretório de armazenamento externo, incluindo todos os subdiretórios. Depois disso, os arquivos originais são excluídos.
Como parte disso, o trojan pode excluir os registros da lista de contatos do dispositivo infectado, algo que os pesquisadores disseram que não foi observado no malware bancário até agora.
“Nos últimos seis meses, observamos que recursos como proxy, keylogging, acesso remoto (RAT), gravação de som e upload de arquivos se tornaram cada vez mais comuns; suspeitamos que essa tendência irá crescer no futuro”, disseram os pesquisadores. “Se a nossa expectativa de aumento de tal comportamento for verdadeira, significa que será difícil para as instituições financeiras avaliarem se são ou não alvo de ameaças específicas, afinal, todos os dispositivos infectados podem ser fonte de fraude e espionagem”.
.
.
Publicado originalmente no ThreatPost em 15 de junho de 2018.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Lindsey O’Donnell
Tradução por Tiago Souza
Imagem deste post: Underlinux
.