Pesquisadores de cibersegurança acabam de revelar um novo cavalo de Tróia bancário perigoso originário do Brasil e visando usuários de Android na Espanha, Portugal, França, e itália.
Called Bizarro, o trojan está tentando roubar credenciais de login de clientes de 70 bancos. “Seguindo os passos da Tetrade, A Bizarro está usando afiliados ou recrutando mulas de dinheiro para operacionalizar seus ataques, sacar ou simplesmente ajudar com as transferências,”SecureList da Kaspersky compartilhada em seu relatório.
O que é o cavalo de Troia Bizarro Banking?
Os operadores da Bizarro estão usando afiliados ou recrutando mulas de dinheiro para tornar seus ataques operacionais, assim, sacando ou ajudando as transferências. O trojan usa vários componentes, ofuscação técnicas, e está sendo distribuído por meio de táticas inteligentes de engenharia social.
De acordo com as descobertas da Kaspersky, O Bizarro tem módulos x64 e é capaz de enganar os usuários para que compartilhem seus códigos 2FA em janelas pop-up falsas. O trojan usa outros truques para persuadir as vítimas a baixar um aplicativo para smartphone.
“Também pode usar engenharia social para convencer as vítimas a baixar um aplicativo para smartphone. O grupo por trás da Bizzaro usa servidores hospedados no Azure e Amazon (AWS) e servidores WordPress comprometidos para armazenar o malware e coletar telemetria," o relatório revelou.
O que acontece quando o cavalo de Troia Bizarro é instalado em um dispositivo?
Uma vez instalado, o trojan é projetado para encerrar todos os processos do navegador em execução e encerrar as sessões existentes com sites de banco online. Ao fazer isso, o trojan garante que quando um usuário abre uma sessão de mobile banking, eles terão que entrar novamente, permitindo que o malware roube as credenciais de login. além disso, O Bizarro também desativa a função de preenchimento automático no navegador e usa pop-ups falsos para coletar códigos 2FA. Para top off, o malware apresenta um módulo de captura de tela.
[Bizarro] carrega a biblioteca magnification.dll e obtém o endereço da função obsoleta da API MagSetImageScalingCallback. Com sua ajuda, o trojan pode capturar a tela de um usuário e também monitorar constantemente a área de transferência do sistema, procurando um endereço de carteira Bitcoin. Se encontrar um, ele é substituído por uma carteira pertencente aos desenvolvedores de malware, Kaspersky explicou.
Contudo, o componente mais perigoso do trojan Bizarro é seu módulo backdoor principal, capaz de realizar mais do que 100 comandos.
Como funciona o componente backdoor da Bizarro?
Em primeiro lugar, o backdoor não iniciará até que o trojan detecte uma conexão com um dos sistemas bancários online codificados. Assim que a conexão for estabelecida, o trojan pode executar qualquer um de seus comandos.
Alguns dos principais comandos do Bizarro são os seguintes:
- Comandos que permitem que os operadores do servidor de comando e controle obtenham dados sobre a vítima e gerenciem o status da conexão;
- Comandos que permitem que os invasores controlem os arquivos localizados no disco rígido da vítima;
- Comandos que permitem que os invasores controlem o mouse e o teclado do usuário;
- Comandos que permitem aos invasores controlar a operação da porta dos fundos, desligar, reinicie ou destrua o sistema operacional e limite a funcionalidade do Windows;
- Comandos que registram as teclas digitadas;
- Comandos que executam ataques de engenharia social.
Em conclusão: Operação de Trojan da Bizarro
Os pesquisadores da Kaspersky também compartilharam que observaram uma série de cavalos de Troia bancários da América do Sul, que expandem suas operações principalmente para países europeus. Os operadores da Bizarro estão adotando rapidamente vários truques técnicos avançados para complicar a análise e detecção de malware. Adicionando as táticas de engenharia social bem elaboradas, o trojan parece ser totalmente capaz de convencer as vítimas a fornecer voluntariamente seus dados financeiros pessoais.
Que outro malware está colocando em risco os usuários do Android?
Algumas das amostras de malware mais recentes do cenário de ameaças do Android incluem o Spyware Flubot, um malware wormable mascarado como um aplicativo Netflix chamado FlixOnline, e o trojan bancário Ghimob.
O banqueiro Ghimob, em particular, parece ter sido desenvolvido pelos mesmos cibercriminosos que codificaram o malware Astaroth Windows. Vale ressaltar que os hackers não usavam a Google Play Store oficial como um canal de distribuição. Para este efeito,, os hackers implantaram aplicativos Android maliciosos em sites e servidores implantados anteriormente pela Astaroth.
Finalmente, no final de dezembro 2020, pesquisadores de segurança relataram um novo plataforma de ofuscação como serviço para Android, permitindo que os cibercriminosos melhorem seus mecanismos de evasão de detecção. Longa história curta, Acontece que os hackers tiveram sucesso no desenvolvimento de uma plataforma de serviço totalmente automatizada que protege malware móvel Android Packet Kits (APKs) de detecção de AV. O serviço está disponível como um pagamento único ou uma assinatura mensal recorrente. É traduzido para inglês e russo, sugerindo sua origem.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: