MysteryBot: O novo malware Android que funde keylogger, ransomware e trojan bancário

O malware Android MysteryBot visa aplicativos bancários

Pesquisadores de segurança da ThreatFabric descobriram uma forma experimental de malware Android que ainda está em desenvolvimento. De acordo com os pesquisadores, o novo malware combina as características de um trojan bancário, keylogger e ransomware que visa dispositivos Android rodando nas versões 7.0 ou 8.0.

Batizado de MysteryBot, esse malware apresenta semelhanças marcantes com o infame LokiBot que causou estragos no ano passado, embora com novas características enganosas. Isso significa que é provável que tenha sido desenvolvido pelo mesmo criador de malware. Inicialmente pensado como uma versão revisada do LokiBot, os pesquisadores descobriram que o malware tinha muito mais armazenado.

“Durante a investigação de sua atividade de rede, descobrimos que o MysteryBot e o LokiBot banker Android estão ambos rodando no mesmo servidor C&C [comando e controle]. Isso rapidamente nos levou a uma conclusão inicial de que esse malware recém-descoberto é uma atualização do Lokibot ou outro trojan bancário desenvolvido pelo mesmo ator,” afirmou a ThreatFabric em um post no blog.

O MysteryBot exibe capacidades excepcionais, assumindo o controle total do dispositivo afetado. Ele é capaz de realizar várias atividades maliciosas, como fazer chamadas telefônicas, roubar informações de contato, copiar mensagens de texto, encaminhar chamadas recebidas para outro dispositivo e funcionar como um keylogger. Ele também pode criptografar todos os arquivos do dispositivo no armazenamento externo e deletar todas as informações de contato no dispositivo.

O malware entra no dispositivo disfarçando-se como um aplicativo Adobe Flash Player para Android. “Em geral, o consumidor deve estar ciente de que todos os chamados ‘aplicativos de Flash Player (atualização)’ que podem ser encontrados dentro e fora das várias lojas de aplicativos são malware,” disse a ThreatFabric ao Bleeping Computer.

“Muitos sites ainda exigem que os visitantes tenham suporte para Flash (que não está disponível no Android há muitos anos), fazendo com que os usuários Android tentem encontrar um aplicativo que os permita usar aquele site,” acrescentou o porta-voz. “No final, eles acabarão apenas instalando malware.”

Explicando mais, os pesquisadores disseram: “Uma nova técnica foi concebida e está sendo usada atualmente, ela abusa da permissão PACKAGE_USAGE_STATS do Android (comumente chamada de permissão de Acesso ao Uso). O código do MysteryBot foi consolidado com a chamada técnica PACKAGE_USAGE_STATS. Como abusar dessas permissões do Android requer que a vítima forneça as permissões de uso, o MysteryBot emprega o popular AccessibilityService, permitindo que o trojan ative e abuse de qualquer permissão necessária sem o consentimento da vítima.”

O principal objetivo do malware MysteryBot é, supostamente, visar aplicativos bancários, embora o malware possa fazer muito mais do que isso. O MysteryBot pode realizar atividades bancárias móveis sob disfarce legal sem o conhecimento ou consentimento da vítima, dificultando a identificação de atividades maliciosas pelas instituições financeiras.

Embora o MysteryBot atualmente não esteja em circulação, o LokiBot foi anteriormente disseminado via spam SMS (smishing) e e-mails (phishing) contendo links para um aplicativo Android, informou a ThreatFabric ao Bleeping Computer.

Sugere-se aos usuários que, para manter seu dispositivo seguro, instalem aplicativos Android apenas da Google Play Store e não de outras fontes. Além disso, é importante saber que estão baixando da Play Store também.

“Ainda existem muitos dropers na Google Play Store, pois parece ser um meio eficiente de distribuição,” disse a ThreatFabric. “No entanto, a maioria dos trojans bancários Android parece ser distribuída via smishing/phishing e side-loading.”

Fonte: Bleeping Computer