Novo RAT ladrão de credenciais bancárias para Android disfarçado como Google Service Framework

Malware para Android está lentamente e constantemente se igualando ao malware para PC. A empresa de segurança FireEye identificou um novo malware para Android que se disfarça como um “Google Service Framework” e rouba as credenciais bancárias dos usuários do Android. O que torna o malware, que é um RAT (Remote Access Tool), único é que ele usa o Google Service Framework para realmente eliminar aplicativos antivírus em smartphones e tablets Android.

A FireEye afirma que a descoberta deste ladrão de credenciais bancárias HijackRAT pode ser um sinal de mais ameaças bancárias focadas em Android no futuro por parte de seu desenvolvedor. A FireEye declarou em um post no blog,

“No passado, vimos malware para Android que executa vazamento de privacidade, roubo de credenciais bancárias ou acesso remoto separadamente, mas este exemplo leva o malware para Android a um novo nível ao combinar todas essas atividades em um único aplicativo. Além disso,” continuaram, “descobrimos que o hacker projetou uma estrutura para realizar sequestro bancário e está ativamente desenvolvendo em direção a esse objetivo. Suspeitamos que, em um futuro próximo, haverá um lote de malware de sequestro bancário assim que a estrutura estiver concluída. Neste momento, oito bancos coreanos são reconhecidos pelo atacante, mas o hacker pode rapidamente expandir para novos bancos com apenas 30 minutos de trabalho.”

A FireEye testou esse malware com oito aplicativos de bancos coreanos e descobriu que, uma vez que o malware é instalado no dispositivo, o servidor de comando e controle envia um comando para substituir os aplicativos bancários existentes. Os aplicativos bancários para Android requerem a instalação de ‘com.ahnlab.v3mobileplus’, um aplicativo antivírus disponível no Google Play. A FireEye notou que, após a instalação, o HijackRaT eliminou o aplicativo antivírus e, em seguida, procedeu para substituir o aplicativo bancário. Esse comportamento permite que o RAT evite a detecção após a instalação, tanto pelo aplicativo antivírus quanto pelo usuário do Android, que está sob a impressão de que o aplicativo bancário que está usando é genuíno.

• *

Explicando o modus operandi deste RAT, o blog diz,

“O nome do pacote deste novo malware RAT (ferramenta de acesso remoto) é “com.ll” e aparece como “Google Service Framework” com o ícone padrão do Android. Os usuários do Android não podem remover o aplicativo a menos que desativem seus privilégios administrativos em ‘Configurações’. Até agora, a pontuação do Virus Total da amostra é de apenas cinco detecções positivas entre 54 fornecedores de antivírus. Esse novo malware é publicado rapidamente em parte porque o servidor CNC, que o hacker usa, muda tão rapidamente.”

O funcionamento do malware é dado em uma análise detalhada no blog da FireEye, no entanto, tentamos explicar brevemente seu funcionamento. Uma vez que o aplicativo contendo o payload do malware é instalado, o ícone dos Serviços do Google aparece na tela inicial. Quando o usuário do Android clica nesse ícone, uma nova tela aparece solicitando privilégios administrativos como qualquer outro aplicativo Android. Uma vez que o usuário aceita e concede os privilégios ao malware, a opção de desinstalar é desativada e um novo serviço chamado “GS” é iniciado. No entanto, isso é apenas um disfarce para o malware; se o usuário clicar no ícone GS, o dispositivo exibe uma mensagem “Aplicativo não está instalado” e, em seguida, se remove da tela inicial. Agora o HijackRAT está em operação e, se o usuário estiver online, em poucos minutos o aplicativo se conecta ao servidor de comando e controle localizado em Hong Kong e recebe uma lista de tarefas dele. A FireEye afirma que rastreou o endereço IP até Hong Kong, mas não identificou o autor/proprietário do malware, mas com base na interface do usuário do malware, acredita-se que tanto o malware quanto o autor provavelmente são coreanos e visam apenas usuários coreanos até agora.

“Não podemos dizer se é o IP do hacker ou um IP de vítima controlado pelo RAT, mas a URL é nomeada após o ID do dispositivo e o UUID gerado pelo servidor CNC,”

As tarefas que ele deve realizar são tentar baixar um aplicativo nomeado como ‘update’ e uma abreviação do nome do banco do servidor de comando e controle, ao mesmo tempo desinstalando o aplicativo bancário original. Quando o comando para ‘atualizar’ é enviado pela ferramenta de acesso remoto, um aplicativo semelhante – ‘update.apk’ é baixado do servidor de comando e controle e instalado no dispositivo Android. O malware também envia todos os detalhes do usuário do proprietário do dispositivo Android para o servidor C & C. Esses detalhes incluem números de telefone, IDs de dispositivos, endereços MAC e listas de contatos disponíveis no smartphone ou tablet.

• *

“Dada a natureza única de como este aplicativo funciona, incluindo sua capacidade de coletar múltiplos níveis de informações pessoais e se passar por aplicativos bancários, uma ameaça de banco móvel mais robusta pode estar no horizonte,”

O aumento de malware que rouba credenciais bancárias não é surpresa, mas o nível de engenhosidade e a sofisticação com que o malware executa seu payload para se conectar ao servidor C & C é um sinal preocupante para o Google, analistas de segurança e a comunidade Android.