Malwares para Android podem roubar códigos de segurança do Google Authenticator

A alternativa é ter uma visão clara e a compreensão do cenário de ameaças

Pesquisadores da empresa de segurança ThreatFabric descobriram recentemente uma séria ameaça à segurança dos usuários do Google Authenticator. Uma variedade de malware do Android agora pode extrair e roubar códigos de acesso únicos (OTP) gerados pelo Google Authenticator, um aplicativo móvel usado como uma camada de autenticação de dois fatores (2FA) para muitas contas online.

O malware, que apareceu pela primeira vez em junho de 2019, passou por mudanças significativas chamadas refatoração. A nova versão teve seu código alterado e atualiza sua base de comando e controle. No entanto, mais importante, agora aprimorou a capacidade do vírus Trojan de Acesso Remoto.

No relatório publicado no blog da empresa de segurança ThreatFabric, os pesquisadores fazem uma correlação com o zodíaco chinês: 2020 é o ano do RAT (rato em português). De acordo com horóscopo, o rato enganou seu adversário para estar à frente dele e “venceu a corrida”. Para os analistas da ThreatFabric, a mentalidade do RAT também é uma tendência crescente que eles observaram em cavalos de Tróia de banco móvel nos últimos anos.

Malware

Segundo o blog da ThreatFabric, no mundo do malware, o termo RAT significa Trojan de Acesso Remoto. Essa funcionalidade pode ser adicionada ao malware para fornecer ao operador criminoso o mesmo grau de controle (remoto) do dispositivo infectado que o seu proprietário / usuário.

O acesso remoto pode ser alcançado de diferentes maneiras, por exemplo, usando serviços nativos mais ou menos, como SSH (Secure Shell) ou RDP (Remote Desktop Protocol), ou mesmo usando software de terceiros, como TeamViewer, VNC ou RAdmin.

No malware bancário Android, o recurso RAT não costuma, de acordo com o relatório, ser usado devido a limitações do sistema operacional Android (requer o uso do Serviço de Acessibilidade).

Malware for Android manages to steal security codes from Google
A nova variante Cerberus passou por refatoração da base de código

Cerberus

O Trojan bancário Cerberus que apareceu no cenário de ameaças no final de junho de 2019 substituiu o infame Trojan Anubis como o principal malware bancário alugado. Ao oferecer um conjunto de recursos que permite a exfiltração bem-sucedida de informações de identificação pessoal (PII) de dispositivos infectados, o Cerberus ainda não possuía recursos que poderiam ajudar a diminuir a barreira de detecção durante o abuso de informações roubadas e fraudes.

Em meados de janeiro de 2020, após as celebrações do ano novo, os autores do Cerberus voltaram com uma nova variante que buscava resolver esse problema, um recurso do RAT para realizar fraudes no dispositivo infectado.

Essa nova variante Cerberus passou por refatoração da base de código e atualizações do protocolo de comunicação C2, mas principalmente foi aprimorada com a capacidade RAT, possibilidade de roubar credenciais de bloqueio de tela do dispositivo (código PIN ou padrão de furto) e tokens 2FA do Aplicativo Google Authenticator.

Trojan

O serviço RAT é capaz de percorrer o sistema de arquivos do dispositivo e baixar seu conteúdo. Além disso, ele também pode iniciar o TeamViewer e configurar conexões, fornecendo aos agentes de ameaças acesso remoto completo ao dispositivo.

Uma vez que o TeamViewer está funcionando, esclarece os analistas do ThreatFabric, ele oferece aos atores muitas possibilidades, incluindo alterações nas configurações do dispositivo, instalação ou remoção de aplicativos, mas principalmente o uso de qualquer aplicativo no dispositivo (como aplicativos bancários, mensageiros e aplicativos de redes sociais). Também pode fornecer informações valiosas sobre o comportamento e os hábitos da vítima; caso seja usado para fins de espionagem.

Para os pesquisadores, a prisão em abril de 2019 de “maza-in”, autor do Trojan Anubis, causou uma escassez de Trojan bancário Android alugado e com suporte no cenário de ameaças móveis. Isso resultou em muitos atores ficando baixos e assustados, incapazes de usar um Trojan bancário conveniente. O Anubis seguiu o destino do Exobot e do GMBot, tornando-se um malware bancário gratuito disponível ao público que foi ocultado por produtos comerciais.

No entanto, a calmaria não durou muito. Logo após a descontinuidade do serviço de aluguel de malware Anubis, apareceu um novo serviço comercial de sucesso que está operacional até hoje – o Cerberus. Além disso, alguns atores optaram por iniciar o desenvolvimento de seus próprios cavalos de Troia bancários, resultando em novos malwares como o Ginp.

Cenários

Os Trojans bancários existentes continuaram evoluindo para permanecer relevantes e bem-sucedidos. Criativos e inventivos, certos agentes de ameaças conseguiram aprimorar suas ferramentas maliciosas para permanecerem sob o radar enquanto aumentam as receitas com fraudes. Gustuff e Hydra são bons exemplos disso, com sua própria visão sobre a implementação de sistemas de transações automatizadas e acesso remoto.

Na avaliação dos analistas do ThreatFabric, este ano, pode se esperar que o cenário de ameaças evolua ainda mais, com novas famílias de malware bancário aparecendo e as mais antigas sendo aprimoradas com novos recursos.

A saída, apontam, é mais do que nunca, uma visão geral clara e a compreensão do cenário de ameaças são cruciais, e as ferramentas para detectar a presença de tais malwares nos dispositivos se tornaram inestimáveis ​​para evitar fraudes.

 

Fonte: ThreatFabric

 

Foto de Elen Genuncio
Foto de Elen Genuncio O autor:

Jornalista com especialização em História do Brasil pela UFF, trabalhou em diversos veículos de comunicação como O Globo, Jornal do Commercio, revista PC Mundo e Rádio Tupi.