CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

Trojan bancário pode acionar dispositivos remotamente

Da Redação
27/02/2020

Malware para Android Cerberus foi atualizado com a funcionalidade RAT e agora é capaz de roubar códigos de autenticação de dois fatores (2FA) do Google Authenticator das vítimas

trojan-bancario.jpg

O trojan bancário Cerberus foi atualizado com a funcionalidade RAT (Riskiest Assumption Test) e agora é capaz de roubar códigos de autenticação de dois fatores (2FA) do Google Authenticator das vítimas, usados ​​como uma camada extra de segurança ao fazer login em contas online.

O Google Authenticator é a alternativa do Google ao 2FA baseado em SMS que usa uma conexão de dados para enviar código de acesso único (OTP) por meio de mensagens de texto, algo que o gigante das buscas desaprova ao ver que pode ser interceptado porque é enviado por uma operadora externa rede.

Enquanto o uso de um aplicativo para gerar códigos 2FA localmente é visto como uma alternativa mais segura aos entregues por SMS, os pesquisadores de segurança da empresa de inteligência móvel ThreatFabric descobriram uma amostra atualizada do Cerberus que agora também pode registrar e roubar informações do Google Authenticator.

Isso permite obter o 2FA baseado em aplicativo com o mesmo nível de segurança que a autenticação de dois fatores baseada em SMS, visto que os códigos agora podem ser roubados nos dois casos.

Abusando do autenticador do Google

O malware que foi detectado pela primeira vez em junho do ano passado como um trojan bancário comum que rouba códigos do Google Authenticator 2FA por violar os privilégios de acessibilidade do Android.

“Quando o aplicativo está em execução, o trojan pode obter o conteúdo da interface e enviá-lo ao servidor de comando e controle (C&C)”, acrescenta o relatório. “Mais uma vez, podemos deduzir que essa funcionalidade será usada para ignorar serviços de autenticação que dependem de códigos OTP.”

Esses códigos roubados podem ser usados ​​para contornar a camada de segurança 2FA adicional em serviços online, como bancos, serviços de e-mail, aplicativos de mensagens e redes de mídia social, para citar apenas alguns.

O módulo de roubo de código 2FA da Cerberus não é o primeiro detectado na natureza até agora, com casos anteriores de malware capazes de esse truque serem descobertos pela ESET e Symantec. No entanto, essas linhagens estavam direcionadas à autenticação de dois fatores baseada em SMS para ignorar a proteção 2FA.

Módulo RAT totalmente operacional

Como os pesquisadores de segurança do ThreatFabric também descobriram, a Cerberus agora possui os recursos trojan (RAT) de acesso remoto baseado no TeamViewer, projetados para fornecer a seus operadores a funcionalidade RAT completa.

“O serviço RAT é capaz de percorrer o sistema de arquivos do dispositivo e baixar o seu conteúdo. Além disso, ele também pode iniciar o TeamViewer e configurar conexões a ele, fornecendo aos agentes de ameaças acesso remoto completo ao dispositivo”, diz ThreatFabric.

Esse novo módulo RAT pode ser usado pelas operadoras da Cerberus para gerenciar aplicativos em dispositivos Android infectados, alterar as configurações de um dispositivo e usar qualquer um dos aplicativos instalados, exatamente como o proprietário do dispositivo.

A amostra de malware do Android que eles analisaram também vem com um recurso de captura de bloqueio de tela que usa sobreposições, possibilitando que os invasores usem o RAT interno para desbloquear remotamente os dispositivos Android de suas vítimas.

“Desde a implementação do RAT, podemos concluir que esse roubo de credencial de bloqueio de tela foi criado para que os atores possam desbloquear remotamente o dispositivo, a fim de realizar fraudes quando a vítima não estiver usando o dispositivo”, acrescenta ThreatFabric. “Isso mostra mais uma vez a criatividade dos criminosos para criar as ferramentas certas para ter sucesso”.

Até a publicação do relatório, o ThreatFabric não viu nenhuma tentativa de anunciar esses novos recursos em fóruns clandestinos ou nos canais do YouTube nos quais o Cerberus estava sendo vendido.

Isso sugere que o malware atualizado ainda está passando por uma fase de teste no momento, embora os pesquisadores considerem que “poderá ser lançado em breve”.

“Tendo uma lista exaustiva de metas, incluindo instituições de todo o mundo, combinadas com sua nova capacidade de RAT, a Cerberus é um risco crítico para as instituições financeiras que oferecem serviços bancários on-line”, acrescenta ThreatFabric. O relatório completo disponível aqui também fornece informações atualizadas sobre os malwares bancários Gustuff, Hydra, Ginp e Anubis Android, juntamente com uma lista de indicadores de comprometimento para todas as amostras de malware analisadas.

Compartilhar: