[ Tráfego 9/Out a 7/Nov: 378.007 page views - 147.200 usuários ] - [ Newsletter 5.521 assinantes Open rate 27%]

samsung-4863145_1280-1.jpg

Malware tem como alvo bancos e carteiras de criptomoedas

Da Redação
27/09/2023

Pesquisadores de segurança descobriram uma campanha que distribui uma nova variante do malware Xenomorph voltada a usuários de dispositivos Android nos Estados Unidos, Canadá, Espanha, Itália, Portugal e Bélgica. A versão mais recente do malware tem como alvo usuários de carteiras de criptomoedas e várias instituições financeiras dos EUA.

Analistas da empresa de cibersegurança ThreatFabric monitoram a atividade do Xenomorph desde fevereiro de 2022 e observaram que a nova campanha foi lançada em meados de agosto deste ano.

O Xenomorph apareceu pela primeira vez no início de 2022, operando como um trojan bancário que tinha como alvo 56 bancos europeus por meio de phishing de sobreposição de tela. Foi distribuído através do Google Play, onde teve mais de 50 mil instalações.

Seus autores, da Hadoken Security, continuaram o desenvolvimento e, em junho de 2022, lançaram uma versão reescrita que tornou o malware modular e mais flexível. Até então, o Xenomorph estava entre os dez trojans bancários mais prolíficos registrados pela empresa de segurança móvel Zimperium, quando já havia alcançado o status de “grande ameaça”.

Em agosto do ano passado, o ThreatFabric informou que o Xenomorph estava sendo distribuído por meio de um novo conta-gotas chamado “BugDrop”, que contornava os recursos de segurança no Android 13. Em dezembro daquele ano, os mesmos analistas relataram sobre uma nova plataforma de distribuição de malware apelidada de “Zombinder”, que incorporou a ameaça no arquivo APK de aplicativos Android legítimos.

Mais recentemente, em março deste ano, a Hadoken lançou a terceira versão principal do Xenomorph, que incorpora um sistema de transferência automatizada (ATS) para transações autônomas no dispositivo, desvio de autenticação multifator (MFA), roubo de cookies e a capacidade de atingir mais de 400 bancos. 

No Brasil, o sistema ATS vem sendo usado por malware para o chamado golpe de desvio de Pix, em que o malware consegue mudar o destinatário de um pagamento instantâneo em aplicativo de banco antes de o usuário informar a senha de acesso e sem necessidade de operação direta do criminoso.

Na última campanha, os operadores de malware optaram por usar páginas de phishing, atraindo os visitantes para atualizar seu navegador Chrome e enganá-los para baixar o APK malicioso. O malware continua a usar sobreposições para roubar informações. No entanto, agora ele expandiu seu escopo de segmentação para incluir instituições financeiras dos Estados Unidos e vários aplicativos de criptomoedas.

O ThreatFabric explica que cada amostra Xenomorph é carregada com cerca de cem sobreposições direcionadas a diferentes conjuntos de bancos e aplicativos de criptografia, dependendo do grupo demográfico visado.

Veja isso
Spyware usa dia zero para infectar dispositivos Android e iPhones
Grupo infecta dispositivos Android com clones de apps do YouTube

Embora as novas amostras de Xenomorfo não sejam muito diferentes das variantes anteriores, elas vêm com alguns novos recursos indicando que seus autores continuam a refinar e aprimorar o malware. Primeiro, um novo recurso “mímico” pode ser ativado por um comando correspondente, dando ao malware a capacidade de agir como outro aplicativo. Além disso, o mímico  tem uma atividade interna chamada IDLEActivity, que atua como um WebView para exibir conteúdo legítimo da Web do contexto de um processo confiável. Esse sistema substitui a necessidade de ocultar ícones do iniciador de aplicativos após a instalação, que é sinalizado como comportamento suspeito pela maioria das ferramentas de segurança móvel.

Outra novidade é o “ClickOnPoint”, que permite que os operadores do Xenomorph simulem toques em coordenadas específicas da tela. Isso permite que os operadores passem pelas telas de confirmação ou executem outras ações simples sem empregar o módulo ATS completo, o que pode disparar avisos de segurança.

Por fim, há um novo sistema “antisleep” que impede que o dispositivo desligue a tela por meio de uma notificação ativa. Isso é útil para prolongar o engajamento e evitar interrupções que exijam o restabelecimento das comunicações de comando e controle.

Compartilhar: