Geost infectou telefones com arquivos de pacote destinados ao sistema operacional que se assemelham a diferentes aplicativos fraudulentos
Uma sucessão de erros da OpSec, plataforma aberta que fornece a estrutura de gerenciamento e reforço de políticas de segurança para parceiros desenvolverem aplicações ou sistemas compatíveis, levou à descoberta de uma nova botnet bancária para Android, destinada inicialmente a cidadãos russos, que estava em operação desde 2016.
A botnet Geost, revelada por pesquisadores da Czech Technical University, UNCUYO University e Avast infectou mais de 800 mil dispositivos Android (de acordo com a estimativa dos pesquisadores) e potencialmente controlou vários milhões de euros. Os pesquisadores descobriram uma história surpreendente, quando começaram a dissecar os registros de bate-papo não criptografados e encontrados como parte de sua investigação.
A descoberta foi feita quando os botmasters (pessoas que operam o comando e o controle de botnets) decidiram confiar em uma rede proxy maliciosa, criada usando um malware chamado HtBot. O malware fornece um serviço proxy que pode ser alugado para oferecer aos usuários uma comunicação pseudo-anônima na internet. A análise da comunicação de rede HtBot levou à descoberta e divulgação de uma grande operação maliciosa que infectou os dispositivos Android.
Além da má escolha por uma plataforma de anonimato para ocultar rastros, os botmasters falharam em criptografar suas comunicações, permitindo aos pesquisadores uma visão sem precedentes do seu funcionamento interno. Os registros de bate-papo encontrados revelaram como eles acessavam servidores, traziam novos dispositivos para a botnet e como evitavam o software antivírus, mas também algo mais íntimo sobre as relações sociais entre os botmasters.
Em uma conversa, um membro queria deixar o grupo, porém, o líder o encorajou a ficar, dizendo: “Alexander, sério, se começamos juntos, precisamos terminar, porque agora está funcionando e podemos ganhar dinheiro. Nem todos os dias estamos recebendo 100 mil por uma promoção”.
Embora não esteja completamente claro o que se entende por “promoção”, o líder também se envolveu em conversas sobre lavagem de dinheiro e pagamentos usando sistemas populares entre os cibercriminosos russos. Uma análise mais profunda ilustrou como os botmasters trazem dispositivos para a botnete como é feita a entrega do trojan bancário e a infiltração na conta bancária da vítima.
“Realmente temos uma visão sem precedentes de como uma operação como essa funciona”, diz Anna Shirakova, pesquisadora da Avast. “Como esse grupo fez algumas escolhas muito ruins na tentativa de ocultar suas ações, pudemos ver não apenas amostras do malware, mas também nos aprofundarmos em como o grupo trabalha tanto em um nível inferior das operações ao trazer dispositivos para a botnet, como em um nível superior das operações sobre o volume de dinheiro que estava sob seu controle. No total, houve mais de oitocentas mil vítimas e o grupo potencialmente controlou milhões em moeda”.
GEOST BOTNET E TROJAN BANCÁRIO
A botnet Geost parece ser uma infraestrutura complexa de telefones Android infectados. Os telefones estão infectados com APKs (arquivos de pacote destinados ao Android) que se assemelham a diferentes aplicativos fraudulentos, como bancos falsos e redes sociais falsas. Uma vez infectados, os telefones se conectam à botnet e são controlados remotamente. Ações habituais dos cibercriminosos parecem ser o acesso e envio de SMS, a comunicação com bancos e o redirecionando do tráfego do telefone para sites diferentes. Os botmasters também acessam uma grande quantidade de informações pessoais do usuário.
Após a infecção, o comando e controle armazenam a lista completa de mensagens SMS de todas as vítimas, começando no momento em que o dispositivo é infectado. SMS foram processados offline no servidor de comando e controle (C&C), para calcular automaticamente o saldo de cada vítima. Em estudos subsequentes, foi possível aos pesquisadores entender o processo do botmaster para determinar quais vítimas online tinham o maior saldo em dinheiro. A botnet tinha uma infraestrutura complexa, incluindo menos de 13 endereços IP de C&C, mais de 140 domínios e mais de 140 arquivos APKs. Cinco bancos, principalmente da Rússia, foram os principais alvos do trojanbancário.
