Os criadores de malware continuam testando a atenção dos usuários do Android, infiltrando trojans bancários para dispositivos móveis na loja Google Play. Recentemente, analisamos um conjunto de 29 trojans sigilosos deste tipo que foram encontrados na loja oficial do Android de agosto até o início de outubro de 2018. As ameaças estavam disfarçados como complementos de reforço e limpeza, gerenciadores de bateria e até mesmo aplicativos com temas do horóscopo.

Ao contrário dos aplicativos maliciosos cada vez mais predominantes, que se baseiam apenas na representação de instituições financeiras legítimas e na exibição de telas de login falsas, esses aplicativos pertencem à categoria de sofisticados malwares bancários para celular com funcionalidades complexas e um foco pesado no sigilo.

Esses trojans remotamente controlados são capazes de afetar de forma dinâmica todos os aplicativos encontrados no dispositivo da vítima através de formulários de phishing personalizados. Além disso, eles podem interceptar e redirecionar mensagens de texto para burlar a autenticação de dois fatores baseada em SMS, interceptar registro de chamadas e baixar e instalar outros aplicativos nos dispositivos comprometidos. Esses aplicativos maliciosos foram publicados com diferentes nomes de desenvolvedores, mas semelhanças de código e um servidor C&C compartilhado sugerem que os aplicativos são o trabalho de um único cibercriminoso ou grupo.

Figura 1 - Exemplos de trojans bancários descobertos no Google Play.

Os 29 aplicativos maliciosos foram removidos da loja oficial do Android depois que os pesquisadores da ESET notificaram o Google sobre sua natureza maliciosa. No entanto, antes de serem retirados da loja, os aplicativos foram instalados por quase 30.000 usuários no total.

Como esses trojans bancários funcionam?

Depois de serem executados, os aplicativos exibem um erro alegando que foram removidos devido à incompatibilidade com o dispositivo da vítima e, em seguida, passam a se esconder da vista do usuário. No entanto, em alguns casos, também oferecem a funcionalidade prometida, como a exibição do horóscopo.

Figura 2 - Uma falsa mensagem de erro é exibida por um desses trojans após ser executado.

Independentemente de qual das atividades anteriormente menciosadas desenvolve cada um desses aplicativos, a principal funcionalidade maliciosa está escondida em um payload criptografado localizado nos assets de cada aplicativo. Este payload é codificada em base64 e, em seguida, criptografados em RC4 usando uma chave hardcodeada. O primeiro estágio da atividade do malware é um dropper que inicialmente verifica a presença de um emulador ou de um sandbox. Se essas verificações falharem, ele descriptografa e libera um loader e um payload que contém o atual malware bancário. Alguns dos aplicativos que analisamos continham mais de um estágio desses payloads criptografadas.

Figura 3 - Funcionalidade para detectar um emulador do Android.

A funcionalidade do payload final é se passar por aplicativos bancários instalados no dispositivo da vítima, interceptar e enviar mensagens SMS, e fazer o download e instalar aplicativos adicionais escolhidos pelo operador. A característica mais importante é que o malware pode se passar por qualquer aplicativo instalado em um dispositivo comprometido. Isso é possível através da obtenção do código HTML dos aplicativos instalados no dispositivo e usando esse código para sobrepor aplicativos legítimos com formulários falsos assim que os aplicativos legítimos são executados, dando pouca chance à vítima de perceber que algo está errado.

Como estar protegido deste tipo de malware?

Felizmente, esse tipo de trojan bancário (a lista completa pode ser encontrada na seção IoCs) não emprega truques avançados para garantir sua persistência nos dispositivos afetados. Portanto, se você suspeitar que instalou algum desses aplicativos, poderá simplesmente desinstalá-los em Configurações> Gerenciador de aplicativos/Apps.

Também aconselhamos que você verifique sua conta bancária em busca de transações suspeitas e considere alterar sua senha home banking ou o código PIN.

Para evitar ser vítima de malware bancário, recomendamos que você:

  • Baixe apenas aplicativos do Google Play. Isso não garante que o aplicativo não seja malicioso, mas apps como esses são muito mais comuns em lojas de aplicativos de terceiros, onde raramente são removidos depois de descobertos, diferentemente do Google Play.
  • Certifique-se de verificar o número de downloads, classificações de aplicativos e o conteúdo de comentários antes de fazer o download dos apps do Google Play.
  • Esteja atento as permissões que são concedidas para os aplicativos que você instala.
  • Mantenha seu dispositivo Android atualizado e use uma solução confiável de segurança para dispositivos móveis. Os produtos da ESET detectam e bloqueiam essa ameaça como Android/TrojanDropper.Agent.CIQ.

Um agradecimento especial a Nikolaos Chrysaidos por nos alertar sobre a existência de alguns desses aplicativos maliciosos.

Indicadores de Comprometimento (IoCs)

App name Package name Hash Installs
Power Manager com.puredevlab.powermanager 7C13ADEFC2CABD85AD8F486C3CBDB6379811A097 10+
Astro Plus com.astro.plus 24D2ED751A33BD965A01FA87D7A187D14D0B0849 0+
Master Cleaner - CPU Booster bnb.massclean.boost 101DA4333A26BC6D9DFEF6605E5D8D10206C0EB4 5,000+
Master Clean - Power Booster mc.boostpower.lf E5DC8D4664167D61E5B4D83597965253A8B4CB3B 100+
Super Boost Cleaner cpu.cleanpti.clo 33D59A70363857A0CE6857D201B764EF3E8194DD 500+
Super Fast Cleaner super.dupclean.com E125AC53050CAFA5A930B210C8168EA9ED0FD6F1 500+
Daily Horoscope For All Zodiac Signs ui.astrohoro.t2018 C3C45A7B3D3D2CB73A40C25BD4E83C9DA14F2DEA 100 +
Daily Horoscope Free - Horoscope Compatibility com.horochart.uk CD5817AB3C2E4AE6A18F239BDD51E0CC9D7F6E25 500+
Phone Booster - Clean Master ghl.phoneboost.com 9834B40401D76473D496E73884947D8A9F1920B3 1,000+
Speed Cleaner - CPU Cooler speeeed.cool.fh 7626646C5C6D2C94B9D541BD5A0F320421903277 100+
Ultra Phone Booster ult.boostphone.pb 6156081484663085B4FC5DEAEBF7DA079DD655C3 1,000+
Free Daily Horoscope 2019 fr.dayy.horos 4E7F12F07D052E7D1EFD21CD323D8BAD9A79933B 50+
Free Daily Horoscope Plus - Astrology Online com.dailyhoroscope.free c0be22c44e5540322e0ffbf3a6fe18ce0968d3b5 1,000+
Phone Power Booster pwr.boost.pro FCB8E568145AF2B6D8D29C0484417E51DD25717F 1,000+
Ultra Cleaner - Power Boost ua.cleanpower.boost CB37C8C44750874BA61F6F95E7A7C29073CB51DC 50+
Master Cleaner - CPU Booster bnm.massclean.boost 63E1C18D87F41ABF9956FC035D29D3C2890453EE 5,000+
Daily Horoscope - Astrological Forecast gmd.horobest.ty 90f41c64b3ab3f3b43e9d14b52f13143afb643da 1,000+
Speed Cleaner – CPU Cooler speeeed.cool.gh 56be07b21c9992a45c3b44b2e8a26b928e8238e2 0+
Horoscope 2018 com.horo2018i.up c8dc0e94f38556cd83ca6a693fa5b6d7ae3957f7 1,000+
Meu Horóscopo my.horoscop.br 92808ca526f8e655d8fa8716ab476be4041cd505 1,000+
Master Clean - Power Booster mc.boostpower.cf ab88a93b0e919e5e07cf867f4165f78aa77dc403 50+
Boost Your Phone boost.your.phone 5577c9131f026d549a38e3ce48c04a323475927e 1,000+
Phone Cleaner - Booster, Optimizer phone.boost.glh 988AB351549FEB2C1C664A29B021E98E3695A18A 1,000+
Clean Master Pro Booster 2018 pro.cleanermaster.iz b9d32241d169dfd4ca5674dffa357796b200bc2f 10+
Clean Master - Booster Pro bl.masterbooster.pro bcb9ef41fea8878eb10f4189dd55bfe1d03a64b3 5,000+
BoostFX. Android cleaner fx.acleaner.e2018 99bff493d201d42534eec9996fd0819a 50+
Daily Horoscope day.horocom.ww 971a0cf208f99c259966b20aa10380c1 1,000+
Daily Horoscope com.dayhoroscope.en 25e95b32832a491108835b382c4f14aa 1,000+
Personal Horoscope horo.glue.zodnow 0dcaf426bbc3b484aa4004f5c8e48a19 1,000+