Segundo pesquisadores de segurança, esta é a primeira vez que registram um incidente de distribuição de malware móvel que usa um servidor MDM como vetor de ataque
Hackers infectaram mais de 75% dos dispositivos Android gerenciados por um conglomerado multinacional, que não quis ser identificada, com o trojan bancário Cerberus, usando o servidor Mobile Device Manager (MDM) da empresa.
O MDM (também conhecido como Enterprise Mobility Management – EMM) é um mecanismo usado por empresas de todos os tamanhos para registrar dispositivos móveis com o mesmo servidor de gerenciamento para facilitar a execução de tarefas, tais como fornecer configurações de dispositivos para toda a empresa, implantar aplicativos e outras.
O trojan bancário Cerberus foi detectado pela primeira vez em junho de 2019 e usa o modelo MaaS (malware como serviço), permitindo que os clientes que alugam seus serviços descartem suas cargas, além de configurar e controlar dispositivos comprometidos durante os ataques.
Veja isso
Ransomware para Android se esconde em apps de vídeo
Trojan Android mira clientes Santander no Brasil, Portugal e Espanha
Depois de implantado em um dispositivo Android, o Cerberus pode ser usado pelos invasores para roubar uma ampla variedade de informações confidenciais, incluindo, entre outras, registros de chamadas, mensagens de texto, credenciais, códigos de autenticação de dois fatores (2FA) do Google Authenticator, padrões de desbloqueio de telefone e também para coletar informações sobre aplicativos instalados e pressionar as teclas de log.
Depois que os invasores comprometeram com êxito o servidor MDM da empresa após um ataque direcionado, eles o usaram para implantar remotamente o malware de trojan bancário em mais de 75% de todos os dispositivos Android gerenciados, como descobriram pesquisadores de segurança da Check Point.
Foi isso que permitiu aos pesquisadores detectar o ataque depois que dois aplicativos maliciosos foram instalados em vários dispositivos da empresa em um período muito curto, com a ajuda do servidor MDM violado.
Para se livrar do malware e remover a capacidade dos invasores de controlar os dispositivos infectados, a empresa decidiu redefinir todos os dispositivos registrados no servidor MDM comprometido.
“É a primeira vez que registramos um incidente de distribuição de malware móvel que usa um servidor MDM como vetor de ataque”, disseram os pesquisadores.
Serviço de acessibilidade do Android
Logo após infectar um dispositivo, o malware exibe uma caixa de diálogo camuflada como uma atualização para o Android Accessibility Service, que continuará aparecendo na tela até que a vítima ceda e pressione o botão “Ativar atualização”.
Depois de obter acesso ao serviço de acessibilidade, o Cerberus o usará posteriormente para clicar nas opções de menu e para ignorar a interação do usuário. O trojan foi recentemente atualizado com a funcionalidade RAT e agora é capaz de roubar os códigos 2FA do Google Authenticator das vítimas, que fornecem uma camada adicional de segurança ao acessar serviços como bancos, e-mail, mensagens e redes sociais. redes de mídia.
A Cerberus também possui os recursos de acesso remoto baseado no TeamViewer, que possibilitam que seus operadores tenham controle remoto total dos dispositivos infectados. Além disso, ele usa sobreposições para capturar o padrão de bloqueio de tela e permitir que os atacantes remotamente os dispositivos.
O malware baixa um módulo ring0.apk que adiciona a capacidade de coletar contatos, mensagens SMS e a lista de aplicativos instalados e enviá-lo ao servidor de comando e controle.
“Este módulo também pode executar ações relacionadas ao telefone, como enviar mensagens SMS específicas, fazer chamadas e enviar solicitações de USSD”, descobriram os pesquisadores. “Além disso, este módulo pode mostrar notificações, instalar ou desinstalar aplicativos e abrir atividades pop-up com URLs.”
Acesso a dispositivos bloqueado
O Cerberus mantém o acesso bloqueando as tentativas das vítimas de desinstalar o TeamViewer e obtém privilégios de administrador, dificultando ainda mais a capacidade do usuário de desinstalar todos os aplicativos necessários para executar suas tarefas maliciosas.
O malware também bloqueará qualquer tentativa do usuário de remover o aplicativo fechando automaticamente a página Detalhes do aplicativo quando as vítimas tentarem abri-lo. Em dispositivos comprometidos, o Cerberus também desativará o Google Play Protect, a proteção de malware interna do Android, abusando do Serviço de Acessibilidade, impedindo a detecção e a remoção automática.
