Os analistas do ThreatFabric descobriram um novo Malware Android Alienígena. O malware tem como alvo principalmente aplicativos bancários. Geral, Alien rouba senhas e outras credenciais de 226 aplicativos.
Alien é vendido em fóruns de hackers sob o esquema MaaS (Malware como serviço). Ao mesmo tempo, o malware não foi desenvolvido do zero, é baseado nos códigos-fonte do conhecido banqueiro Cerberus, que recentemente começou a ser distribuído gratuitamente.
“O Cerberus deixou de existir porque a equipe de segurança do Google encontrou uma maneira de detectar e limpar dispositivos infectados. Embora Alien seja baseado na versão antiga do Cerberus, não parece ter tais problemas e poderia tornar-se um herdeiro de pleno direito do famoso banqueiro”, – disseram os especialistas do Threat Fabric.
Os pesquisadores escrevem que do ponto de vista técnico, Alien pode ser chamado de mais avançado que Cerberus. Estrangeiro, por exemplo, pertence a uma nova geração de Trojans bancários que integraram funções de acesso remoto em seu código.
Por isso, Alien pode não apenas mostrar à vítima telas de login falsas e coletar senhas de vários aplicativos e serviços, também pode fornecer aos hackers acesso remoto a dispositivos infectados para que possam usar credenciais roubadas ou realizar outras ações.
Os especialistas do ThreatFabric relatam que a maioria das funções do malware são usadas para operações fraudulentas, porque operadores alienígenas, como a maioria dos criadores de Trojans Android modernos, buscar ganho financeiro. Alien é atualmente capaz de:
- exibir conteúdo sobre outros aplicativos (usado para credenciais de phishing);
- interceptar dados inseridos no teclado;
- fornecer acesso remoto ao dispositivo (depois de instalar o TeamViewer);
- coletar, enviar e encaminhar mensagens SMS;
- roubar a lista de contatos;
- coletar informações do dispositivo e listas de aplicativos;
- coletar dados de geolocalização;
- fazer solicitações USSD;
- redirecionar chamadas;
- instalar e executar outros aplicativos;
- iniciar navegadores, abrindo páginas arbitrárias neles;
- bloquear a tela como um ransomware;
- acompanhe as notificações no seu dispositivo;
- roubar códigos 2FA gerados por aplicativos autenticadores.
Os pesquisadores’ análise descobriu que Alien poderia exibir páginas de login falsas em 226 outros aplicativos no total. A maior parte dos malwares, claro, está interessado em produtos bancários, mas além deles, Alien ataca clientes de e-mail, redes sociais, mensageiros instantâneos e criptomoedas (incluindo Gmail, Facebook, Telegrama, Twitter, Snapchat, Whatsapp, e assim por diante). Uma lista completa pode ser encontrada no relatório da empresa.
A maioria dos aplicativos bancários direcionados aos desenvolvedores do Alien são instituições financeiras da Espanha, Peru, Alemanha, EUA, Itália, França, Polônia, Austrália, e o Reino Unido.
O relatório ThreatFabric não fala sobre como o Alien chega aos usuários’ dispositivos, pois os métodos de entrega variam, dependendo do que os clientes Alien MaaS preferem. Às vezes, esses aplicativos maliciosos acabam no Google Play, mas na maioria dos casos são distribuídos através de outros canais.
“Muitos deles parecem estar se espalhando [Estrangeiro] através de sites de phishing, por exemplo, uma página maliciosa que engana as vítimas para que baixem atualizações de software falsas ou aplicativos falsos relacionados ao coronavírus (um truque muito comum ultimamente). Outro método que notamos são as mensagens SMS: depois de infectar um dispositivo, hackers roubam uma lista de contatos, que eles então usam para espalhar ainda mais sua campanha maliciosa”, - Especialistas em ThreatFabric disseram ZDNet jornalistas.
Em geral, Aplicativos infectados por alienígenas são fáceis de detectar, pois geralmente exigem que o usuário conceda direitos de administrador ou acesso ao serviço de acessibilidade.
Deixe-me lembrá-lo que também falei sobre o Trojan BlackRock que rouba senhas e dados de cartões de 337 aplicativos no sistema operacional Android.