Uma nova variedade de malware Android descoberta por pesquisadores de segurança da ThreatFabric vem com uma ampla gama de recursos que permitem roubar credenciais de 226 aplicativos para Android, com foco em e-banking. Chamado de Alien, o novo cavalo de tróia (trojan) está ativo desde o início do ano e foi oferecido como Malware-as-a-Service (MaaS) em fóruns clandestinos. Em um relatório compartilhado esta semana com o ZDNet, os pesquisadores investigaram as postagens do fórum e as amostras do Alien para entender a evolução, os truques e os recursos do malware.
De acordo com os pesquisadores, o Alien não é um novo trecho de código, mas na verdade foi baseado no código-fonte de uma gangue rival de malware chamada Cerberus, ativo no ano passado, mas que fracassou este ano, segundo a ThreatFabric, após a equipe de segurança do Google encontrar uma maneira de detectar e limpar dispositivos infectados. O seu proprietário tentou vender sua base de código e a base de clientes, mas depois acabou divulgando-as gratuitamente.
Mesmo que o Alien tenha sido baseado em uma versão mais antiga de Cerberus, seu MaaS interveio para preencher o vazio deixado pela morte do malware anterior e, segundo os pesquisadores, é ainda mais avançado do que Cerberus. A ThreatFabric afirma que o Alien faz parte de uma nova geração de cavalos de tróia bancários para Android.
O Alien pode mostrar telas de login falsas e coletar senhas para vários aplicativos e serviços, além de também poder conceder aos atacantes acesso a dispositivos para usar essas credenciais ou até mesmo realizar outras ações. Atualmente, de acordo com a ThreatFabric, o Alien possui os seguintes recursos:
- Sobrepor o conteúdo a outros aplicativos
- Registrar entrada do teclado
- Fornecer acesso remoto a um dispositivo após a instalação de uma instância do TeamViewer
- Coletar, enviar ou encaminhar mensagens SMS
- Roubar lista de contatos
- Coletar detalhes de dispositivos e listas de aplicativos
- Coletar dados de geolocalização
- Enviar solicitações USSD
- Encaminhar chamadas
- Instalar e iniciar outros aplicativos
- Iniciar os navegadores nas páginas que desejar
- Bloquear a tela para um recurso semelhante a ransomware
- Roubar códigos de autenticação de dois fatores gerados por aplicativos autenticadores
A maioria das páginas de login falsas visa interceptar credenciais para aplicativos de e-banking, mas o Alien se direciona outros aplicativos como e-mail, redes sociais, mensagens instantâneas e aplicativos de criptomoeda. A maioria dos aplicativos bancários alvo dos desenvolvedores do Alien são de instituições financeiras baseadas principalmente na Espanha, Turquia, Alemanha, Estados Unidos, Itália, França, Polônia, Austrália e Reino Unido.
Editado por Bruna Chieco
Comentários Recomendados
Não há comentários para mostrar.
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.