Trojan bancário para Android se disfarça de atualização do Chrome

Trojan possui várias funcionalidades, como gravação de tela, keylogging e mais de 50 comandos remotos diferentes
Da Redação
29/04/2024

Pesquisadores do Cyble Research and Intelligence Labs (CRIL) rastrearam um novo trojan bancário para Android, denominado Brokewell, sendo distribuído por meio de um site de phishing disfarçado como a página oficial de atualização do Chrome. O trojan possui várias funcionalidades, como gravação de tela, keylogging (ação de gravar/registrar as teclas pressionadas em um teclado) e mais de 50 comandos remotos diferentes.

Após uma investigação mais aprofundada, os pesquisadores conseguiram rastrear o trojan até seu desenvolvedor, que descreveu o trojan como capaz de contornar as restrições de permissão nas versões mais recentes do sistema operacional Android. Os pesquisadores do CRIL identificaram o trojan sendo distribuído através do domínio “hxxp://makingitorut[.]com”, que se disfarça como o site oficial de atualização do Chrome e apresenta várias semelhanças impressionantes.

O site engana o usuário fazendo-o pensar que uma atualização é necessária, descrevendo-a como sendo fundamental “para proteger o navegador e corrigir vulnerabilidades importantes”. Um botão de download no site leva os usuários a baixar o arquivo APK malicioso Chrome.apk em seus sistemas.

Após análise, descobriu-se que o arquivo APK baixado era um novo trojan bancário para Android, incorporado com mais de 50 comandos remotos diferentes, como coleta de dados de telefonia, coleta de histórico de chamadas, ativação da tela do dispositivo, coleta de localização, gerenciamento de chamadas, gravação de tela e áudio.

O malware foi vinculado a um repositório git, onde é descrito como sendo capaz de contornar restrições baseadas em permissão nas versões 13, 14 e 15 do Android. O repositório git continha links para perfis em fóruns clandestinos, uma página Tor e um canal no Telegram. A página do Tor direcionava a vítima para a página pessoal dos desenvolvedores do malware, onde se apresentam e vinculam a um site listando vários outros projetos que desenvolveram, como verificadores, validadores, ladrões e ransomware.

Os pesquisadores do CRIL observam que o Brokewll provavelmente está em seus estágios iniciais de desenvolvimento e, portanto, possui funcionalidades limitadas. As técnicas de ataque atuais envolvem principalmente o ataque de sobreposição de tela, captura de tela/áudio ou técnicas de keylogging, mas podem incorporar recursos adicionais.

O malware foi observado realizando uma verificação para determinar se o sistema host foi enraizado. Esse estágio envolve a verificação de nomes de pacotes de um aplicativo de verificação de raiz, uma ferramenta de análise de tráfego de rede e uma ferramenta de análise .apk. Uma vez detectado que o dispositivo não está enraizado, ele prossegue com a execução normal, primeiro solicitando à vítima permissões de acessibilidade. O serviço de acessibilidade é então explorado para conceder ao aplicativo outras permissões, como “exibir sobre outros aplicativos” “instalação de fontes desconhecidas”.

Veja isso
Trojan Vultur para Android se faz passar pelo app McAfee Security
Novo trojan bancário é detectado circulando no Brasil

Depois de obter permissões, o aplicativo solicita que o usuário insira o PIN do dispositivo por meio de uma tela falsa com localização na Alemanha. O PIN é então armazenado em um arquivo de texto para uso posterior, juntamente com várias amostras do malware sendo carregadas no VirusTotal.  A localização alemã levou os investigadores a acreditar que se destina principalmente ao país. 

Além do alemão, também foram detectadas diversas strings em chinês, francês, finlandês, árabe, indonésio, sueco, português e inglês. Essas strings sugerem que o malware poderia expandir seus alvos com o surgimento de iterações subsequentes incorporando recursos adicionais.

Acesse o relatório completo do CRIL (em inglês) clicando aqui.

Compartilhar:

Últimas Notícias