À esquerda – aplicativo Sberbank da Rússia original, a direita – app falso; image Source: TrendMicro
Fanta SDK é uma das mais recentes ameaças maliciosas destinadas a usuários de Android. Este malware específico é muito bom para se proteger e altera o código PIN do dispositivo do usuário para bloquear o dispositivo. Enquanto isso, a conta bancária do usuário está sendo esvaziada.
Fanta SDK apareceu pela primeira vez em dezembro 2015, mas não era muito difundido naquela época e, portanto, não chegou às manchetes. Contudo, durante os últimos meses, o malware foi aprimorado e agora está mais ativo.
Distribuição de malware Fanta SDK Android
Tal como acontece com outras formas de malware, invasores estão distribuindo a ameaça por meio de e-mails de spam. Como a campanha está acontecendo? A vítima em potencial receberá um e-mail com o endereço de e-mail falsificado de seu banco. Então, eles serão solicitados a atualizar seu aplicativo bancário porque uma nova atualização foi lançada. Vítimas atuais do Fanta SDK estão situadas apenas na Rússia, e são clientes do Sberbank da Rússia.
Descrição do malware Fanta SDK Android
TrendMicro é a empresa de segurança que analisou a ameaça depois de adquirir uma amostra de um aplicativo bancário falso na Rússia. Este era de fato Fanta SDK. Como já escrito, o malware altera a senha do dispositivo quando a vítima tenta remover ou desativar os privilégios de administrador do aplicativo.
também Leia Permissões de aplicativos para Android e privacidade do seu telefone
O Fanta SDK também tem uma maneira rara de executar sua rotina maliciosa, esperando por comandos antes de o ataque ser lançado. TrendMicro escreve que:
Os usuários podem obter o Fanta SDK a partir de links de url maliciosos para aplicativos benignos como “sistema”, bem como baixá-los de lojas de aplicativos de terceiros. A mensagem conteria uma narrativa que pediria aos usuários para baixar a versão mais recente do aplicativo bancário imediatamente por motivos de segurança.
Assim que o aplicativo for baixado e instalado, o usuário será solicitado a conceder privilégios de administrador. Isso deve alertar imediatamente o usuário sobre comportamento malicioso, já que aplicativos legítimos não exigem direitos de administrador.
Assim que os privilégios de administrador forem obtidos, O Fanta SDK irá esperar que a vítima em potencial inicie o aplicativo de mobile banking. Esta última campanha do Fanta SDK é configurada para exibir um pop-up de phishing para obter as credenciais bancárias do usuário. Então, o usuário será redirecionado para o aplicativo.
Quando a conta bancária de um usuário é esvaziada com sucesso?
Uma vez que o usuário “detecta” o comportamento malicioso do aplicativo bancário, eles provavelmente tentarão desinstalá-lo. Contudo, eles não poderão fazer isso a menos que removam os privilégios de administrador. Se isso for feito, o Fanta SDK muda a senha do dispositivo, trancando a vítima para fora.
Como escrito por TrendMicro pesquisadores:
Não é fácil para os usuários desbloquear o dispositivo se o código for definido pelo malware. Uma maneira possível é excluir o arquivo de chave de senha no shell ADB. Mas isso requer que o dispositivo esteja enraizado e a depuração USB esteja habilitada.
Contudo, fazer o root de um dispositivo é raro na vida real pelos seguintes motivos:
- Alguns, caso existam, Dispositivos Android são removidos da caixa
- Nem todos os dispositivos Android podem ser enraizados
- O enraizamento de uma unidade de dispositivos quebra a garantia
além disso, o malware irá esvaziar com sucesso a conta bancária da vítima, especialmente quando ele tem várias contas bancárias.
Fanta SDK relacionado ao Cridex, Trojans Ramnit e ZBOT Banking
não é de surpreender, o malware Android está conectado à infraestrutura de campanhas maliciosas que entregam Cridex, Ramnit, e cavalos de Troia bancários ZBOT:
Uma investigação mais aprofundada do C&O servidor C nos levou ao endereço IP 81.177.139.62. O endereço IP era um domínio de estacionamento, hospedar vários outros malwares, incluindo ransomware, RAMNIT, CRIDEX, e ZBOT. Ainda estamos investigando este domínio na esperança de encontrar um link entre os perpetradores por trás do falso aplicativo do banco e o outro malware distribuído no endereço IP.
Como proteger seu telefone Android do Fanta SDK
A pesquisa da TrendMicro revela que o aplicativo Sberbank mais recente é atualizado para detectar malware, enquanto as versões antigas não podem. Felizmente, a firma já contatou o banco, informando-os sobre a ameaça à segurança.
Se você é um cliente deste banco, você deve considerar atualizar seu aplicativo por meio do site principal do banco.
Se um banco ou provedor de crédito solicitar que os usuários baixem uma nova versão de um aplicativo, faça isso com segurança baixando o aplicativo no site principal.
Além disso, não se esqueça de que seu dispositivo Android precisa de proteção antimalware, bem como seu computador pessoal.
também Leia SpyLocker Trojan Android Depois de clientes de bancos da UE
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: