samsung-4863145_1280-1.jpg

Trojan grava tela de dispositivos Android para o roubo de dados

Vultur usa gravação de tela e keylogging para coletar credenciais de login e permitir o roubo de usuários
Da Redação
01/08/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A equipe de pesquisadores de cibersegurança da empresa ThreatFabric detectou um novo malware RAT (trojan de acesso remoto), batizado por eles de Vultur, devido à sua visibilidade total no dispositivo das vítimas via rede virtual de computador (VNC), usada para controlar outras máquinas remotamente através de uma conexão de rede. Segundo os especialistas da empresa, esta é a primeira vez que identificam um trojan bancário para Android que usa gravação de tela e keylogging (malware usado para registrar as teclas pressionadas em um teclado) como estratégia principal para coletar credenciais de login de forma automatizada e escalonável. 

Os operadores do malware optaram por abandonar a estratégia comum de sobreposição de HTML (linguagem de marcação de hipertexto) normalmente verificada em outros cavalos de Tróia bancários para Android, já que essa abordagem geralmente requer mais tempo e esforço dos cibercriminosos para roubar informações do usuário. Em vez disso, eles optaram por simplesmente registrar o que é mostrado na tela, obtendo efetivamente o mesmo resultado.

Com base na inteligência coletada, a equipe da ThreatFabric conseguiu obter a lista de aplicativos direcionados pelo Vultur. Itália, Austrália e Espanha foram os países com mais instituições bancárias visadas. Além disso, muitas carteiras de criptomoedas são visadas.

Durante a investigação, os analistas da ThreatFabric descobriram sua conexão com uma estrutura de droppers (programas maliciosos projetados para introduzir outro malware em dispositivos) bem conhecida chamada Brunhilda, que usa droppers localizados no Google Play para distribuir malware.

A equipe de especialistas da ThreatFabric mostrou que esses droppers e o Vultur foram desenvolvidos pelo mesmo grupo de ameaças. A escolha de desenvolver seu próprio trojan privado, em vez de alugar malware de terceiros, mostra uma forte motivação dos ciercriminosos, emparelhado com o alto nível geral de estrutura e organização presente no bot, bem como o código do servidor.

Em setembro de 2020, a Bitdefender publicou um relatório sobre droppers encontrados no Google Play. O documento afirma que esses droppers foram usados ​​para distribuir o malware bancário Cerberus. No entanto, os especialistas da ThreatFabric acreditam que foi o trojan bancário Alien, o sucessor do Cerberus, o malware de fato relatado pela primeira vez em setembro daquele ano.

Os droppers no Google Play se apresentavam como alguns aplicativos utilitários, como apps de fitness e autenticadores de dois fatores (2FA). No entanto, além de executar sua funcionalidade, eles instalam malware bancário no dispositivo das vítimas. Em dezembro de 2020, o Prodaft revelou mais detalhes sobre o Brunhilda, que no momento de sua análise também distribuía o malware bancário Alien. Ele ainda se disfarçava de aplicativo de fitness e autenticação no Google Play. Em março deste, porém, o CSD (Client Side Detection) da ThreatFabric detectou um malware desconhecido com recursos de RAT que chamou de Vultur. 

Veja isso
Trojan ‘satânico’ traz keylogger a 8 mil PCs no Brasil
Cavalo de Troia Qbot já é um dos dez principais malwares em nível global

O Vultur opera de maneira semelhante ao Alien. Ele observa tudo o que está acontecendo nos dispositivos usando um recurso de gravação de tela baseado em VNC para obter todas as informações de identificação pessoal (PII) necessárias para realizar fraudes, como nome de usuário de conta bancária, senha e tokens de acesso. A equipe da ThreatFabric conseguiu encontrar ao menos dois aplicativos de droppers conectados ao Vultur, um deles com mais de 5 mil instalações feitas por meio do Google Play. Assim, a empresa estima que o número de vítimas potenciais esteja na casa dos milhares.

Modus operandi

O modus operandi o Vultur é diferente do que normalmente se vê nos cavalos de Troia bancários baseados em Android. O modo usual depende fortemente da exploração da mecânica de sobreposição para induzir as vítimas a revelar suas senhas e outras informações privadas importantes. Em um ataque de sobreposição, os usuários digitam suas credenciais no que pensam ser um aplicativo bancário legítimo, levando-as efetivamente a uma página controlada pelo invasor. O Vultur usa uma técnica menos flexível tecnicamente, mas muito eficaz: a gravação de tela.

Como a grande maioria dos trojans bancários, o Vultur depende muito dos serviços de acessibilidade. Quando é iniciado pela primeira vez, o malware esconde o ícone do aplicativo e logo depois explora os serviços para obter todas as permissões necessárias para operar livremente. É importante notar que as solicitações de aplicativos para acesso ao serviço de acessibilidade mostrando uma sobreposição de WebView emprestada de outras famílias de malware. Na verdade, a primeira vez que vimos esse WebView foi com o malware bancário Alien.

Sempre que qualquer novo evento aciona o serviço de “evento de acessibilidade”, o bot verifica se ele vem de um aplicativo que faz parte da lista de alvos de keylogging. Nesse caso, ele usa os serviços de acessibilidade para registrar tudo o que foi digitado pelo usuário.

Além do keylogging, os serviços são usados ​​para impedir que o usuário exclua o aplicativo do dispositivo usando os procedimentos tradicionais, como acessar as configurações e desinstalar manualmente o aplicativo. Sempre que o usuário chega à tela de detalhes do aplicativo, o bot clica automaticamente no botão “voltar”, direcionando o usuário para a tela de configurações principal, efetivamente não permitindo o acesso ao botão de desinstalação.

Gravação de tela

Após ocultar seu ícone, a Vultur passa a iniciar seu serviço responsável por gerenciar a principal funcionalidade do trojan, que é a gravação de tela usando VNC. VNC é uma implementação de software específica, mas não é incomum que pessoas mal-intencionadas usem o termo VNC para se referir a qualquer coisa que se enquadre no compartilhamento de tela com acesso remoto — pode ser feito usando um software de terceiros, como o VNC ou TeamViewer, ou por meio de recursos internos do Android usados, por exemplo, pelo malware Oscorp. No caso do Vultur, se refere a uma implementação VNC real tirada do AlphaVNC. Para fornecer acesso remoto ao servidor VNC em execução no dispositivo, o Vultur usa o ngrok. O ngrok é capaz de expor servidores locais atrás de NATs (Network Address Translation) e firewalls para a internet pública através de túneis seguros.

A maior ameaça que o Vultur oferece é sua capacidade de gravação de tela. O trojan usa os serviços de acessibilidade para entender qual aplicativo está em primeiro plano. Se o aplicativo fizer parte da lista de destinos, ele iniciará uma sessão de gravação de tela. Se o usuário prestar atenção no painel de notificação, ele também poderá ver que o Vultur, neste caso, se mascarando como um aplicativo chamado “Guarda de Proteção”, está projetando a tela.A história do Vultur mostra novamente como os operadores de ameaças mudaram do uso de cavalos de Tróia como serviço (MaaS) que são vendidos em fóruns clandestinos para malware proprietário/privado adaptado às necessidades do grupo de cibercriminosos.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest