Alien – Conheça o novo trojan bancário para Android

Alien – Conheça o novo trojan bancário para Android

O malware Cerberus foi um poderoso trojan (um cavalo de tróia) para Android que deu as caras no ano passado. Ele teve novas funcionalidades, ficando ainda mais poderoso e chegou na sua versão 2.0. Mas não durou muito tempo, e após a separação dos responsáveis, ficou disponível para venda na darkweb. Mas eis que, uma nova ameaça, apelidada de “Alien”, veio para ocupar o trono vazio deixado pelo Cerberus.

Surge um novo trojan bancário para o Android

Descoberto pelos pesquisadores da empresa ThreatFabric, o trojan bancário Alien poderá ser o novo MaaS (Malware As A Service, ou traduzindo, Malware Como Um Serviço).

O malware Alien é um fork do Cerberus. Devido a sua semelhança, as ações executadas são frequentemente interpretadas como sendo ataques do Cerberus. Mas como os pesquisadores são espertos, alertaram que o Alien é um malware diferente, executado por um grupo de hackers mais audacioso do que o que era responsável pelo Cerberus. Outra diferença entre o Alien e Cerberus está no seu C2 (comumente chamamos de C2, pois abreviamos os dois “Cs” de Comando e Controle em apenas um C).

Diferença entre os trojans

Com duas famílias de malware originadas da mesma base de código, seria interessante distinguirmos os trojans. A principal diferença é quando comparamos os protocolos de C2.

As requisições realizadas para o C2 do Alien são construídas da seguinte forma:

Alien - Conheça o novo trojan bancário para Android
Alien – Conheça o novo trojan bancário para Android | Fonte da imagem: https://www.threatfabric.com/blogs/alien_the_story_of_cerberus_demise.html

Já as requisições para o C2 do Cerberus, são desta forma:

Alien - Conheça o novo trojan bancário para Android
Alien – Conheça o novo trojan bancário para Android | Fonte da imagem: https://www.threatfabric.com/blogs/alien_the_story_of_cerberus_demise.html

Os autores do Alien adicionaram dois recursos principais que estão ausentes em ambas as versões do Cerberus, respectivamente o controle remoto baseado no TeamViewer do dispositivo infectado e o farejador de notificação (ladrão).

Aplicativo com o tema

“Coronavirus”

O novo malware, surgido em janeiro de 2020, é um fork do Cerberus v1. Quando este foi descontinuado, seus clientes migraram para o Alien, que já executava as suas campanhas de boas. Sua campanha mais recente, é a de se passar por um aplicativo Android com o tema Coronavirus.

O Alien possui vítimas em todo o mundo, pois ele permite que seus clientes adicionem alvos de forma personalizada. Até o momento, ele pode atuar como até 226 aplicativos Android diferentes, roubando credenciais bancárias.

Regiões como Espanha, EUA, Reino Unido, Turquia, Alemanha, Austrália, França, Itália, China, Japão, Suíça, dentre outras, são as mais visadas.

Trojan Bancário
Alien – Conheça o novo trojan bancário para Android | Fonte da imagem: https://www.threatfabric.com/blogs/alien_the_story_of_cerberus_demise.html

Quais são as funcionalidades do malware Alien?

Pelo fato do Alien ser um fork do Cerberus, ambos possuem funcionalidades bastante semelhantes. MAS, o Alien é mais avançado, devido o controle remoto baseado no TeamViewer e ao seu sniffer de notificação. Com relação às suas funcionalidades, os pesquisadores da ThreatFabric disseram:

“Ele possui recursos comuns, como ataques de sobreposição, controle e roubo de mensagens de SMS e a coleta da lista de contatos. O malware pode dar qualquer finalidade para o seu keylogger, e portanto, ampliar o escopo do ataque além da sua lista de alvos. Ele também oferece a possibilidade de instalar, inicializar e remover aplicativos do dispositivo infectado.
E o mais importante, ele utiliza um sniffer de notificações (sabe aqueles avisos que normalmente aparecem no topo de seu Android? Então…), podendo ler o conteúdo de todas as notificações do dispositivo afetado, e uma funcionalidade de RAT (Remote Access Trojan ou Trojan de Acesso Remoto) (que usa e abusa do TeamViewer), o que significa que os agentes de ameaça (os clientes que compraram o malware, os hackers, etc) podem realizar as suas fraudes à partir do dispositivo da vítima.”

Comandos que podem ser utilizados pelo RAT do Alien:

ComandoDescrição
rat_disconnectDesativa o serviço RAT
open_folderLista arquivos e subdiretórios um diretório específico
uploadind_fileRealiza o upload de um arquivo específico para o C2
connect_teamviewerFornece credenciais para o aplicativo TewmViewer e carrega ele
open_team_viewerCarrega o aplicativo TeamViewer
send_settingsEnvia as configurações atuais do serviço do RAT para o C2
get_appsPega a lista de todos os aplicativos instalados no dispositivo infectado
Alien – Conheça o novo trojan bancário para Android | Comandos do RAT

Lista completa das funcionalidades do malware

  • Sobreposição: Dinâmica (injeções locais obtidas do C2)
  • Keylogging
  • Acesso remoto
  • Coleta de SMS: lista de SMS
  • Coleta de SMS: encaminhamento de SMS
  • Coleta de informações do dispositivo
  • Coleta de lista de contatos
  • Lista de aplicativos instalados
  • Coleta da geolocalização
  • Sobreposição: atualização da lista de alvos
  • SMS: Enviando
  • Chamadas: realiza solicitações USSD (Veja este post para mais detalhes do USSD)
  • Chamadas: encaminhamento de chamadas
  • Ações remotas: instalação de aplicativo
  • Ações remotas: inicialização do aplicativo
  • Ações remotas: remoção de aplicativo
  • Ações remotas: mostrar páginas da web visitadas
  • Ações remotas: bloqueio de tela
  • Notificações: notificações push
  • Resiliência C2: lista auxiliar de C2
  • Autoproteção: oculta o ícone do aplicativo
  • Autoproteção: Impede a sua remoção
  • Autoproteção: detecção de emulação
  • Arquitetura: Modular

Os pesquisadores ainda não descreveram como ocorre a disseminação do malware e como infecta os dispositivos das vítimas.

Com relação a este último parágrafo, creio que você, caro(a) leitor(a) talvez já saiba a resposta. Um inocente aplicativo com o tema Coronavirus, disponível na Google Play, poderá ser o vetor de ataque. Sabemos que a loja virtual da Google possui uma alta segurança, mas as recentes notícias (leia aqui e aqui) de malwares disponíveis sendo descobertos após já terem infectados diversas vítimas, nos leva a crer que realmente a segurança não é 100% em nenhum sistema.

Fonte:

https://www.threatfabric.com/blogs/alien_the_story_of_cerberus_demise.html

Avatar

O Analista

https://www.oanalista.io

Adoro letras verdes sob um fundo preto...