Malware móvel Escobar tem como alvo 190 aplicativos bancários e financeiros, rouba códigos 2FA

[ad_1]

Um novo malware móvel para Android chamado Escobar atingiu o mercado clandestino do crime cibernético. Leia mais sobre o assunto e veja como se proteger dessa ameaça.

Imagem: Getty Images/iStockphoto/Kirill_Savenko

O malware móvel está se tornando cada vez mais poderoso contra aplicativos bancários e financeiros, especialmente em sistemas operacionais Android. Agora, uma pesquisa da Cyble revela que uma nova versão do malware móvel Aberebot, apelidado de Escobar, foi lançada.

Uma versão deste malware foi encontrado na naturezarepresentando a McAfee usando a marca no nome do arquivo McAfee9412.apk e também usando o logotipo da McAfee como isca (Figura A). Este pedaço de código pode roubar quase tudo do telefone que infecta, incluindo códigos de autenticação múltipla do Google Authenticator.

Figura A

Escobar figura A.
Primeiro relatório sobre o malware móvel Escobar. Fonte: Twitter

Um investimento caro para os cibercriminosos, ou assim parece

O Cyble Research Labs expôs uma oferta do desenvolvedor por trás do Escobar postada na dark web, mostrando que atualmente é possível alugá-lo por US $ 3.000 por mês – e uma vez que não será mais beta, aumentará para US $ 5.000 por mês. O desenvolvedor insiste no aspecto beta e na possibilidade de bugs, então eles estão alugando para apenas cinco clientes (Figura B).

Figura B

Escobar figura b.
O desenvolvedor de malware Escobar anuncia o produto. Fonte: Cyble

Este é um modelo de negócios interessante, pois o desenvolvedor pode fazer com que as pessoas tentem, executem e usem o malware e forneçam possíveis feedbacks de bugs, enquanto ainda ganham dinheiro com isso. Vendo o preço da versão beta, pode-se esperar que os clientes desse malware sejam cibercriminosos experientes que confiam em sua capacidade de monetizar o malware rapidamente.

O vetor de infecção não é exposto pelo desenvolvedor. Se estivesse disponível diretamente por meio de uma loja de aplicativos legítima, esperaríamos que o cibercriminoso escrevesse sobre isso, pois aumentaria o valor do malware. Cyble menciona que, de acordo com sua pesquisa, “esses tipos de malware são distribuídos apenas por outras fontes que não a Google Play Store”.

A versão anterior do malware, apelidada de Aberebot, apareceu pela primeira vez em meados de 2021 e já teve como alvo mais de 140 entidades financeiras em 18 países, mostrando que o desenvolvimento desse malware está ativo.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Funcionalidades do Escobar

Em uma nota interessante, o desenvolvedor escreve sobre isso: “O malware não funciona no Xiaomi MIUI 11 e superior, pois a interface do usuário não permite que serviços em segundo plano iniciem atividades (que é como as injeções funcionam)!”

Como mencionado, a versão de Escobar encontrada na natureza parece representar a McAfee (Figura C).

Figura C

Escobar figura c.
O malware usa o logotipo e a marca da McAfee. Fonte: Cyble

O malware precisa de 25 permissões diferentes do usuário, das quais atualmente abusa de 15. Ele pode:

  • Coletar a localização do dispositivo
  • Colete dados de contato (números de telefone, endereços de e-mail)
  • Colete SMS
  • Envie SMSs para um número de telefone específico ou para todos os contatos
  • Colete registros de chamadas
  • Roubar logs de chave de aplicativo
  • Roubar arquivos de mídia
  • Gravar audio
  • Use o visualizador VNC para controlar remotamente o dispositivo infectado
  • Tirar fotos
  • Injetar URLs
  • Instalar/desinstalar outros aplicativos
  • Roubar códigos do Google Authenticator
  • Excluir a si mesmo

Todas as informações roubadas e coletadas são enviadas diretamente para um servidor de comando e controle.

Malware com orientação financeira

Como outros Trojans bancários, o Escobar sobrepõe formulários de login falsos na tela do telefone para enganar o usuário e fazê-lo fornecer suas credenciais para aplicativos de e-banking ou outros sites de orientação financeira.

Um aspecto particular desse malware que o torna assustador é que ele também rouba códigos do Google Authenticator, o que abre novas possibilidades de fraude para o invasor que usa o malware e possibilita contornar o 2FA (autenticação de dois fatores).

Se o usuário do telefone usar o SMS ou o Google Authenticator como método 2FA, o invasor poderá ignorar ambos.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa conhecer (TechRepublic Premium)

Como prevenir a infecção por malware

Para proteger contra malware móvel, é importante:

  • Instale aplicativos de segurança abrangentes em seu dispositivo para protegê-lo.
  • Evite clicar em qualquer link que chegue no seu celular, não importa qual aplicativo ele use, se vier de uma fonte desconhecida.
  • Evite aplicativos desconhecidos
  • Nunca baixe aplicativos de terceiros ou fontes não confiáveis.
  • Verifique as permissões ao instalar qualquer aplicativo. Os aplicativos devem solicitar permissões apenas para as APIs necessárias. Seja extremamente cauteloso com aplicativos que solicitam privilégios de manipulação de SMS.
  • Tenha muito cuidado com aplicativos que solicitam atualizações imediatamente após a instalação. Um aplicativo baixado da Play Store deve ser a versão mais recente. Se o aplicativo solicitar permissão de atualização na primeira execução, imediatamente após a instalação, é suspeito e pode ser um sinal de malware tentando baixar mais funcionalidades.
  • Ative 2FA. Se possível, use o Google Authenticator ou SMS em outro dispositivo que não o usado para qualquer ação financeira. Esse dispositivo precisa estar protegido contra malware. Dessa forma, mesmo com as credenciais roubadas em mãos, um invasor não poderá ignorar a solicitação 2FA.

Divulgação: Eu trabalho para a Trend Micro, mas as opiniões expressas neste artigo são minhas.



[ad_2]