O trojan BrazKing, um malware para Android que opera como RAT (remote access trojan) voltou a caçar clientes de bancos brasileiros, informam os pesquisadores da IBM Trusteer. O malware evoluiu bastante segundo os pesquisadores: “Estamos vendo que o BrazKing é um desenvolvimento contínuo e acreditamos que haverá mais por vir em um futuro próximo”, disseram no relatório publicado na semana passada.
Veja isso
Malware brasileiro ameaça pontos de venda
RAT brasileiro já ataca mobile banking no exterior
A principal evolução registrada é que os desenvolvedores têm trabalhado para tornar o malware mais ágil do que antes, movendo seu mecanismo de sobreposição principal para trazer do servidor de comando e controle (C2), em tempo real, as falsas telas de sobreposição de aplicativos bancários das vítimas.
Na versão anterior, o BrazKing abusou do serviço de acessibilidade para detectar qual aplicativo bancário o usuário estava abrindo, e puxar a tela de sobreposição associada de uma URL codificada para apresentá-la no lugar do aplicativo legítimo: “Agora, ele automatiza uma chamada para o servidor, solicitando essas telas em tempo real. A detecção de qual aplicativo está sendo aberto agora é feita pelo lado do servidor, e o malware envia regularmente conteúdo na tela para o C2. A captura de credenciais é então ativada a partir do servidor C2, e não por um comando automático do malware”, acrescenta a análise publicada pela IBM.
Implementando esta abordagem, o atacante pode mudar seu comportamento dependendo de vários fatores, como o IP da vítima (brasileiro / outro) e a detecção de um ambiente virtualizado como um emulador.
Com informações da assessoria de imprensa