Malware FunkyBot intercepta códigos 2FA do Android. O spyware se apresenta como um aplicativo legítimo, se espalhando por mensagens SMS para as listas de contatos das vítimas.
Um malware para Android chamado “FunkyBot” começou a aparecer no Japão, operado pelos mesmos atacantes responsáveis pelo malware FakeSpy. Ele intercepta mensagens SMS enviadas para e de dispositivos infectados. Desta forma o malware FunkyBot intercepta códigos 2FA do Android que usualmente são enviados via texto sms.
De acordo com o FortiGuard Labs, eles monitoraram os atores do malware (nomeado após o log de strings encontrado no mecanismo de persistência da carga) e os sites de phishing que eles criaram e, recentemente, percebemos que eles começaram a implantar uma carga útil diferente do FakeSpy divulgado no ano passado.
Como nas campanhas anteriores, essa carga útil consiste em um empacotador e uma carga útil. No entanto, ambos são diferentes dos que encontraram anteriormente. O Malware se disfarça como um aplicativo Android legítimo. Assim, a carga útil consiste em dois arquivos .dex: um é uma cópia do aplicativo legítimo original que o malware está representando e o outro é um código malicioso.
Quanto à cadeia de ataque, um empacotador determina primeiro em qual versão do Android o telefone está sendo executado, para gerar a carga útil adequada. Depois disso, a carga útil é iniciada chamando a classe `runCode` do método através da reflexão Java. Isso inicia uma classe chamada KeepAliceMain, que é usada como mecanismo de persistência pelo malware.
“Ele usa uma biblioteca de código aberto que pode ser encontrada no Github para manter o serviço ativo no dispositivo“, explicou Dario Durando, do FortiGuard, em um blog esta semana. “Ele também permite que o malware silencie os sons do dispositivo“.
Curiosamente, o malware usa a mídia social para obter o endereço do servidor de comando e controle (C2). Durando disse que baixa a página de uma conta do Instagram sem foto. Em seguida, extrai o campo de biografia desta conta e decodifica-o usando Base64.
Depois que a conexão com o servidor é iniciada, o malware prossegue com a impressão digital do dispositivo, enviando o IMEI, o IMSI (Identidade Internacional de Assinante de Celular Internacional) e o número de telefone para os atacantes. Esses dados são usados para tomar decisões sobre comportamentos posteriores.
“É interessante notar que o malware identifica o provedor do cartão SIM e procura especificamente um provedor de telecomunicações japonês específico“, explicou Durando. “Para fazer isso, ele verifica o valor IMSI do dispositivo. Esse valor é composto de duas metades: a primeira identifica o provedor e a segunda é exclusiva para o dispositivo específico. ”
Ele também colhe a lista de contatos da vítima para fins de propagação; ou seja, o C2 envia um número de telefone e um corpo da mensagem ao malware, que ele usa para gerar uma mensagem SMS que será enviada a todos da lista.
“A quantidade de informação exfiltrada é relativamente limitada, especialmente quando comparada a famílias maiores como Anubis, Cerberus ou Hydra“, disse Durando. “No entanto, como nas campanhas anteriores [como o FakeSpy], ele também possui técnicas agressivas de disseminação … para permitir que o malware se espalhe de maneira semelhante a um verme“.
Voltando à impressão digital, se o provedor específico desejado estiver associado ao dispositivo, o malware aumentará o número máximo de mensagens SMS que ele se permite enviar.
“Após algumas pesquisas, concluímos que esse comportamento pode ser apenas porque o provedor permite que os clientes enviem mensagens SMS gratuitas um para o outro, aumentando a quantidade de tráfego que um único dispositivo infectado é capaz de gerar antes de levantar suspeitas“, disse Durando.
E, em seu último estágio, o FunkyBot altera as configurações do dispositivo para se tornar o aplicativo padrão de tratamento de SMS.
“[Ele] usa isso para enviar para o C2 todas as mensagens recebidas“, disse Durando. “Essa funcionalidade pode ser muito perigosa, considerando que a maioria dos bancos atualmente usa autenticação de dois fatores por SMS.“
Além da amostra analisada voltada para o Japão, o FortiGuard também encontrou outras que não estavam completamente desenvolvidas e não possuíam algumas das funcionalidades do binário principal.
“[Isso sugere] que o malware está atualmente em desenvolvimento e está sendo testado na natureza“, disse Durando. “As capacidades dessa família são limitadas no momento, mas o fato de termos encontrado amostras diferentes que mostraram uma melhora significativa no período de algumas semanas mostra que essa família não deve ser subestimada“.
Fonte: ThreatPost & Fortnet
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- Hardening: porquê, como planejar e qual o padrão recomendado!
- Risco de Segurança na nuvem é igual ou menor que on-premisses
- Empresa paga $500 mil por violação de dados iniciada por Phishing
- Atualização interrompe verificações do Windows Defender
- ISO 27701 – Extensão ISO 27001/2 para Privacidade de Dados
- A falsa sensação de segurança: 10 controles que podem estar faltando em sua arquitetura de nuvem
- CLOUD SECURITY Por onde Começar?
- Microsoft lança atualização e causa problemas de performance
- Telegrama corrige bug privacidade devido a msg excluídas incorretamente
- 50 Estados dos EUA abrem investigação antitruste contra Google
- A indústria dos dados pessoais, os data brokers e a LGPD
- As 10 melhores ferramentas de verificação de vulnerabilidades para testes de penetração – 2019
Deixe sua opinião!