Novo trojan para Android imita app de atualização do Google Play

Trojan bancário, descrito como sofisticado, incorpora uma série de recursos maliciosos, incluindo ataques de sobreposição, keylogging e capacidades de ofuscação
Da Redação
20/05/2024

Um novo trojan bancário direcionado a dispositivos Android foi detectado pelo Cyble Research and Intelligence Labs (CRIL). Em um relatório publicado na quinta-feira passada, 16, o CRIL descreveu o malware como sofisticado, que incorpora uma série de recursos maliciosos, incluindo ataques de sobreposição, keylogging e capacidades de ofuscação.

Os pesquisadores chamaram o trojan de Antidot, em homenagem a uma string em seu código-fonte. Ele se apresenta como um aplicativo de atualização do Google Play, exibindo uma página falsa de atualização da loja virtual de aplicativos do Google após a instalação.

A Cyble observou que a falsa página de atualização foi elaborada em vários idiomas, incluindo alemão, francês, espanhol, russo, português, romeno e inglês. Isso sugere que o malware tem como alvo usuários do Android em diferentes regiões do globo. Na página de atualização falsa, um botão “continuar” redireciona o usuário para as configurações de acessibilidade do dispositivo Android.

Depois que o usuário dá acessibilidade ao serviço, o malware envia a primeira “mensagem ping” ao servidor junto com os dados codificados em Base64, que contém nome do aplicativo de malware, versão do kit de desenvolvimento de software (SDK), modelo e fabricante do telefone, idioma e código do país e lista de pacotes de aplicativos instalados. Em segundo plano, o malware inicia a comunicação com seu servidor de comando e controle (C&C).

Além da conexão HTTP, o trojan estabelece comunicação WebSocket usando a biblioteca socket.io, que permite a comunicação bidirecional em tempo real entre o servidor e o “cliente”. O malware mantém essa comunicação por meio de mensagens “ping” e “pong”.

Veja isso
Apps no Google Play com 1,5 mi de usuários enviam dados à China
Apps para a Google Play à venda na darknet por até US$ 20 mil

Depois que o servidor gera o ID do bot, o trojan Antidot Banking envia estatísticas do bot ao servidor e recebe comandos. 

O malware implementou um total de 35 comandos, incluindo coleta de mensagens SMS, início de solicitações USSD e até controle remoto de recursos do dispositivo, como câmera e bloqueio de tela. O malware incorpora vários recursos que permitem implantar uma série de atividades maliciosas, incluindo computação em rede virtual (VNC), registro de teclas, gravação de tela, encaminhamento de chamadas, bloqueio e desbloqueio de dispositivo, entre outras.

“A utilização de ofuscação de strings, criptografia e implantação estratégica de páginas de atualização falsas pelo Antidot demonstra uma abordagem direcionada destinada a evitar a detecção e maximizar seu alcance em diversas regiões de língua estrangeira”, escreveram os pesquisadores da Cyble.

Algumas recomendações para mitigar esta ameaça pode ser obtidas no blog da Cyble clicando aqui.

Compartilhar:

Últimas Notícias