Comodo detecta nova família de malware financeiro sofisticado

Republicado por Platão

seguidores: 0

Comodo detecta nova família de malware financeiro sofisticado PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai. Tempo de leitura: 3 minutos

Comodo Laboratórios de pesquisa de ameaças (CTRL) anunciou que detectou uma nova família de malware financeiro apelidado de “Gugi/Fanta/Lime”. É um Trojan bancário sofisticado que pode contornar os protocolos de segurança padrão de um sistema operacional Android (versão 6) e assumir o controle do sistema operacional. O malware financeiro busca privilégios do sistema e credenciais de usuário e, uma vez obtido, adquire o controle total do dispositivo Android.

Malware financeiro

CTRL detectou que o malware está ativo na Rússia. Este Trojan coloca uma camada de programa de interface falsificada de aparência autêntica sobre um aplicativo genuíno, como a Google Play Store ou outros aplicativos bancários móveis. Ele engana os usuários e os faz acreditar que a interface é genuína e os faz revelar suas credenciais de login e outras informações confidenciais, como detalhes de cartão de crédito e débito.

Como ocorre a infecção por malware

Cibercriminosos empregar engenharia social e phishing para iniciar a infecção. Eles enviam mensagens de spam que contêm um hiperlink. Se o usuário não for cauteloso o suficiente e clicar no hiperlink, o usuário será levado a um site malicioso e será solicitado a clicar em outro link. Clicar inicia o download do Trojan-Banker.AndroidOS.Gugi.c no dispositivo do usuário.

O Trojan “Gugi/Fanta/Lime” agora busca a permissão do usuário – a partir da versão 6 do Android, a permissão explícita do usuário/proprietário do dispositivo é necessária para determinadas permissões para aplicativos, bem como para sobrepor telas/janelas sobre outros aplicativos. Se o usuário conceder permissão, o troiano sobrepõe a interface de aplicativos autênticos da Google Play Store e outros aplicativos de banco móvel com janelas de phishing para roubar credenciais do usuário.

O malware realmente “força” o usuário a conceder todas as permissões necessárias. Enquanto a mensagem na tela busca solicitações de permissão aparentemente autênticas, na verdade o Trojan busca permissões para sobreposição de aplicativos, direitos de administrador do dispositivo; enviar, visualizar e receber SMS e MMS; fazer chamadas, ler e escrever contatos e todos os outros direitos que desejar. O Cavalo de Tróia Fanta também solicita permissão para BuildConfig, HindeKeybroad e ContextThemeWrapper. O malware adquire detalhes do telefone, como IMEI (Identidade Internacional de Equipamento Móvel), IMSI (Identidade Internacional de Assinante Móvel), SubscriberId, SimOperatorName e SimCountryIso.

Se o usuário negar a permissão a qualquer momento, o Trojan “Gugi/Fanta/Lime” bloqueará completamente o dispositivo infectado. Para recuperar o acesso ao dispositivo, o usuário não tem outra opção a não ser reinicializar no modo de segurança e tentar remover/desinstalar o Trojan usando soluções de segurança.

O Trojan envia um SMS para um servidor de Comando e Controle (CnC) para estabelecer contato. Ele usa o protocolo WebSocket para interagir com seus servidores CnC. O malware agora sobrepõe telas de aplicativos autênticas com janelas de phishing e rouba todas as informações inseridas nas telas – isso inclui credenciais de login e detalhes do cartão.

O Trojan “Gugi/Fanta/Lime” tem sido usado principalmente para atacar usuários na Rússia até agora e, considerando sua potência, pode-se esperar que seja usado em todo o mundo no futuro.

Como se manter protegido?

Educação do usuário/funcionário sobre cíber segurança
Os usuários não devem clicar em links em SMS de fontes desconhecidas ou abrir anexos de fontes desconhecidas.
Seria mais seguro não clicar em nenhum link em qualquer SMS. A verdadeira expansão do hiperlink pode ser verificada e aberta.
Tenha cuidado ao fornecer permissões.
Se um aplicativo solicitar acesso privilegiado, seja extremamente cauteloso antes de fornecer as permissões.
Phishing SMS e e-mails podem vir de IDs genuínos falsificados. Seja consciente e cauteloso sobre tais tentativas.