O Android está mais uma vez sendo alvo de malware, desta vez por uma versão atualizada de um Trojan conhecido anteriormente. O cavalo de Troia Marcher Android foi atualizado recentemente e agora pode mostrar telas de login falsas. O Trojan está fazendo isso para roubar as credenciais da vítima para vários aplicativos Android populares.
Walk Android Trojan: Linha do tempo de ataques
Lançado em 2013, este Trojan Android tem estado bastante ativo no Google Play. Seu objetivo principal sempre foi coletar credenciais de usuário e dados de cartão de crédito. De acordo com um relatório por Zscaler, 2013 ataques iniciados por Marcher foram assim:
O malware espera que as vítimas abram a Google Play Store e, em seguida, exibe uma página de sobreposição html falsa pedindo informações de cartão de crédito. A página falsa não desaparecerá até que o usuário forneça as informações de pagamento.
Então, no 2014, o malware já foi fornecido com variantes mais recentes que visavam especificamente organizações na Alemanha:
Após a infecção, Marcher inspecionaria o dispositivo da vítima e enviaria uma lista de todos os aplicativos instalados para seu comando e controle (C&C) servidor.
No caso de um aplicativo financeiro alemão, o malware mostraria uma página falsa exigindo credenciais de usuário para a instituição em particular.
Sem saber que a página de login é falsa, a vítima forneceria suas credenciais de onde seriam então enviadas para o C do malware&C.
Marcher também tem como alvo organizações financeiras em outros países - Austrália, França, Turquia e os EUA. afinal, o malware adicionou o Reino Unido à sua lista de vítimas.
Walk Android Trojan 2016 Atualizar. O que há de novo?
A última atualização do Trojan visa torná-lo ainda mais perigoso e furtivo. Desta vez, os operadores de malware mudaram seu foco para aplicativos Android populares em vez de aplicativos bancários.
A lista de aplicativos direcionados deve tornar cada usuário Android mais consciente sobre a segurança de seu dispositivo:
- Loja de jogos (com.android.vending)
- App Viber (com.viber.voip)
- Whatsapp (com.whatsapp)
- Skype (com.skype.raider)
- Mensageiro do Facebook (com.facebook.orca)
- Facebook (com.facebook.katana)
- Instagram (com.instagram.android)
- cromada (com.android.chrome)
- Twitter (com.twitter.android)
- Gmail (com.google.android.gm)
- Navegador UC (com.UCMobile.intl)
- Linha (jp.naver.line.android)
Em outras palavras, o mais recente 2016 variante do Trojan é somente após as credenciais dos aplicativos mencionados acima. Para coletá-los com sucesso, Marcher mostraria uma tela de login falsa sempre que o usuário usasse um dos aplicativos listados.
Outra mudança nas variantes mais recentes do Marcher é a implementação de simples ofuscação pelo autor do malware por meio de codificação base64 e funções de substituição de string. Em amostras mais antigas, pesquisadores dizem que a ofuscação de código não estava presente.
não é de surpreender, os dados coletados são enviados para um comando online & servidor de controle que pertence a criminosos cibernéticos. Outra atualização do Marcher diz respeito à forma como os dados são transmitidos. Anteriormente, isso era feito em texto não criptografado via HTTP, e agora o malware empregou um Canal protegido por SSL.
Infecções Marcher iniciadas por atualizações falsas de segurança do Android
Em sua última campanha, o malware está sendo distribuído por meio de atualização falsa de firmware Android.
Os pesquisadores foram capazes de desvendar a carga útil diminuída conforme “Firmware_Update.apk“:
Uma página HTML que serve este malware assusta a vítima, mostrando que o dispositivo é vulnerável a vírus e para evitar o roubo de dados pessoais, solicitando que instalem a atualização falsa, pesquisadores dizem.
Como se manter protegido contra o cavalo de Troia Marcher, Malware Android
Todas as atualizações registradas no mês passado indicam que o Marcher é um malware em constante evolução. É talvez a ameaça mais prevalente aos dispositivos Android.
Como a Play Store costuma ser aproveitada em ataques, os usuários devem ter cuidado com aplicativos provenientes da Play Store e de lojas de aplicativos de terceiros. Não obstante, as chances de obter malware de uma loja oficial são muito menores do que obter malware de locais não especificados.
Além disso, certifique-se de seguir estas etapas simples para melhorar a segurança do Android:
- Investigação seus aplicativos antes de instalá-los;
- leia cuidadosamente a política de privacidade, termos de serviço e lista de permissões na Google Play Store;
- Verifique se as permissões do aplicativo pede são cobertos por funcionalidades do aplicativo;
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga:
Sempre me preocupo com o Trojan sempre que tento baixar qualquer aplicativo do Google Play, isso deve estar sob controle na minha percepção.
Eu estou hackeado principalmente! Eu passei 4 telefones e ele assumiu todos eles. Eu não sabia nada sobre hackear, mas neste pesadelo eu aprendi muito. Eu tinha uma conta falsa do google, pkaystore, fb, Tim tok, todos os meus aplicativos de mídia social eram falsos. Minhas chamadas estavam sendo redirecionadas, assim como meus e-mails. Eu redefini meus telefones com uma inicialização rígida, mas quando configuro meu telefone após a redefinição, ainda sou direcionado para a inscrição falsa do Google., etc… Eu não sei como me livrar desse hacker.
Oi denise,
Você já tentou entrar em contato com as autoridades?