Especialistas em segurança descobriram que uma nova ameaça apareceu nos mercados subterrâneos de hackers chamado de Red Alert 2.0 Trojan Android. É uma versão atualizada de um vírus anterior feito para o sistema operacional móvel que pode causar danos significativos aos hosts infectados.
Alerta vermelho 2.0 Cavalo de Troia Android para venda
Recentemente, pesquisadores de segurança descobriram uma campanha de ataque perigosa carregando um sofisticado Trojan Android, a análise subsequente revela que é uma nova versão de uma ameaça conhecida anterior. O novo vírus é chamado de Alerta vermelho 2.0 Trojan Android e sua principal técnica de entrega no momento parece ser o uso de mensagens de e-mail de SPAM. Os operadores de hackers utilizam Engenharia social táticas para persuadir as vítimas pretendidas a baixar e executar as instâncias. Eles podem ser diretamente anexado ou hiperlink nos conteúdos corporais.
A análise revela que várias versões dele estão sendo oferecido nos mercados clandestinos de hackers por um prêmio de acesso mensal de $500. O fato de já estarmos vendo ataques que o transportam mostra que os hackers de ambos os lados (os criadores e os clientes) estão usando ativamente como uma arma formidável contra usuários individuais, empresas e até instalações governamentais. A análise de segurança realizada confirma que se trata de uma criação original e não compartilha nenhum código com nenhuma das outras famosas instâncias de Trojan Android.
Parece que o Trojan Android tem como alvo principalmente usuários de bancos localizados em países como: Austrália, Áustria, Canadá, República Checa, Polônia, Dinamarca, Alemanha, França, Lituânia, Índia, Itália, Irlanda, Japão, Nova Zelândia, Romênia, Espanha, Suécia, Peru, Reino Unido, e os Estados Unidos.
Alerta vermelho 2.0 Recursos do cavalo de Troia do Android
Após a execução, o mecanismo de infecção principal é acionado com a tarefa de preparar os dispositivos host para uma infecção profunda. Isso é feito iniciando um componente colheita de dados que cria um perfil de hardware completo dos dispositivos da vítima e também pode expor a identidade da vítima. Isso é feito colhendo cordas, como seu nome, endereço, localização, interesses, senhas e credenciais de conta.
O vírus pode realizar uma variedade de ações perigosas, como interromper chamadas, mensagens e certas funções do aplicativo. Um dos módulos mais importantes que possui é a capacidade de criar uma conexão segura com um servidor controlado por hackers. É usado para receber instruções dos criminosos, colete os dados ou implante ameaças adicionais.
O mecanismo de malware visa serviços de pagamento populares e aplicativos móveis que são amplamente usados pelos usuários. Alguns dos componentes do Trojan são os seguintes:
- WatchDogService - define temporizadores para garantir que o malware seja executado periodicamente.
- ControlService registra o bot do dispositivo, bem como iniciar o ReadCommandThread: aguarda instruções do C&servidor C.
- Garante que o dispositivo está conectado ao C&servidor C
- BootReceiver - garante que todas as funcionalidades estejam ativas e funcionando quando a máquina for reinicializada. Este receptor de inicialização garante que o serviço watchdog seja executado a cada 10 segundos ou 30 segundos dependendo da versão do sistema operacional.
- SmsReceiver - intercepta mensagens SMS.
Os operadores de hackers podem usar uma interface gráfica do usuário da web para controlar os hosts infectados. Ele permite que os operadores de hackers assumam seletivamente o controle de dispositivos individuais ou gerem relatórios sobre suas campanhas de ataque. O alerta vermelho 2.0 O cavalo de Troia Android pode ser usado para realizar a maioria dos ataques bancários, baixando assinaturas de aplicativos bancários e criando sobreposições sobre os aplicativos regulares instalados pelo usuário. Isso permite que os criminosos obtenham as credenciais da conta da vítima. Se configurado para que o código malicioso possa interceptar mensagens de autenticação de dois fatores. O cavalo de Troia bancário também pode modificar os endereços de destino de transações e operações de carteira de criptomoeda.
Esperamos que mais grupos de hackers o usem contra usuários em todo o mundo. No momento, nem todos os softwares de segurança podem detectar as versões atuais.