É o segundo descoberto pela área de segurança da IBM em pouco mais de uma semana. Batizado de Banker.BR, opera aplicando telas falsas sobre o aplicativo oficial utilizado pelo cliente
Na semana passada, a IBM X-Force anunciou ter encontrado um trojan bancário aparentemente feito no Brasil e operando na Espanha. Agora, encontrou outro, desta vez para Android, e também com indícios de ter sido feito aqui. Só que esse está atacando aqui mesmo. Ele visa usuários de apps bancários que falam português e espanhol, principalmente no Brasil. O relatório da IBM não diz de que banco são os usuários, mas adianta que “em alguns casos são visados clientes de grandes bancos que também operam em outras partes do mundo, especialmente na Espanha, Portugal e na América Latina”. Não é difícil supor qual banco seja e a descrição da IBM sugere fortemente o Banco Santander.
Segundo a equipe de segurança da IBM, esse trojan foi feito com base num outro chamado SMSstealer.BR, e enriquecido com overlays (as telas de apps bancários) mais bem elaborados. Com essa parte ele passou a ser chamado de “Banker.BR”.
Agora, ele está sendo espalhado por meio de mensagens contendo um link. A mensagem diz que eles precisam fazer o download da versão mais recente de um suposto aplicativo de segurança, necessário aos serviços bancários móveis. Clicando no link, eles iniciam o download de um arquivo que está armazenado numa popular plataforma de compartilhamento de arquivos.
Veja isso:
Trojan bancário pode acionar dispositivos remotamente
Trojan desenvolvido no Brasil atacou bancos na Espanha
Como o aplicativo vem de uma fonte não-confiável para o sistema Android, a tela de download contém instruções sobre como desbloquear esse tipo de ação através do menu Configurações do dispositivo. No momento, esse malware pode fazer um ataque de overlay (sobreposição) e roubar credenciais do app bancário dos usuários, permitindo que o invasor assuma o controle de contas bancárias. Esses elementos podem ajudar os invasores a concluir transações fraudulentas das contas bancárias das vítimas.
Após a instalação, o malware coleta algumas informações do dispositivo e as envia ao C&C do invasor, que é um endereço de domínio codificado no malware. Esta informação inclui o seguinte:
- Número de telefone
- Identidade Internacional de Equipamento Móvel (IMEI)
- Identidade Internacional de Assinantes Móveis (IMSI)
- Número de série do SIM (SSN)
Quando ativo, o malware também pode roubar e exfiltrar mensagens SMS, o que permite obter códigos 2FA enviados ao usuário pelo banco ou por outros provedores de serviços. O malware registra um receptor para manipular o SMS recém-recebido no runtime, o que permite manter essa função invisível para o usuário.
Com agências internacionais
