Golpe do Banco Falso: novo malware ameaça usuários Android no Brasil

Pesquisadores de empresas de segurança cibernética ThreatFabric encontrou uma nova campanha maliciosa que visa segmentando usuários de dispositivos Android no Brasil. Envolve um Trojan chamado Rocinante.

O trojan Rocinante tem a capacidade de coletar credenciais de usuário (login e senha) via keylogging na área do Serviço de Acessibilidade, phishing com páginas falsas e, como parte final do ataque, controle sobre o smartphone ou tablet infectado.

Em suma, isto significa que o Rocinante entra no smartphone e envia informações sobre botões pressionados no teclado para cibercriminosos. Além disso, simula páginas falsas de bancos legítimos para que os usuários insiram dados financeiros que forneçam acesso.

Entre as páginas falsas que simulam bancos, o malware utiliza a aparência das seguintes instituições:

• Loja Itaú
• Santander (e Módulo de Segurança)
• BradescoPrime
• Correio celular
• Recarga Correios
• Livelo Pontos
• Banco do Brasil
• Caixa Econômica Federal
• PicPay
• Mercado Pago
• Sicoob
• PagSeguro
• XP Investimentos

“Recentemente, conseguimos identificar uma nova cepa de malware, originária do Brasil, que corporiza essa nova onda de banqueiros, que chamamos de Rocinante”, comentaram os pesquisadores que acrescentaram:

“Essa família de malware é capaz de fazer keylogging usando o Serviço de Acessibilidade e também roubar dados pessoais de suas vítimas usando telas de phishing que se fazem passar por diferentes bancos. Ele pode usar todas essas informações exfiltradas para realizar o controle do dispositivo (DTO) e aproveitar os privilégios do Serviço de Acessibilidade para obter acesso remoto completo ao dispositivo infectado.”

Páginas bancárias falsas que o Rocinante simula (ThreatFabric)

Malware, trojan, keylogging

Antes de prosseguirmos, vamos abordar algumas questões que podem estar com você agora ou em breve.

O que é malware: Termo genérico para “vírus”, é um programa malicioso projetado para prejudicar um alvo. Ele pode roubar dados, bloquear arquivos, controlar sistemas ou espionar você. Cada ação possui um nome de variante específico.

O que é Trojan: ou Cavalo de Tróia, é um programa malicioso que simula a aparência de um programa legítimo para induzir o alvo a entrar no computador ou smartphone.

O que é spyware: uma das variantes do malware, é um programa que entra no celular ou computador para espionar as atividades dos usuários. Ele pode ler mensagens, e-mails, ver fotos, etc.

O que é phishing: ou pesca. Os cibercriminosos desenvolvem mensagens ou páginas falsas para enganar as vítimas e forçá-las a realizar uma ação, como baixar ou enviar dados.

O que é keylogging: Keyloggers são programas projetados para registrar as teclas digitadas. Ele captura tudo o que você digita no teclado de um computador ou celular.

Resumo do que você viu até agora: um programa falso imita a aparência de bancos reais para roubar dadoscontrole o dispositivo e tente roubar dinheiro de celulares e tablets Android.

Também passa por atualizações bancárias (ThreatFabric)

O Rocinante

Apesar de não ter qualquer relação com o famoso e ‘luxuoso’ spyware Pegasus — que ganhou as manchetes por ser utilizado por governos de todo o mundo —, é com esse nome que os cibercriminosos responsáveis ​​por Rocinante se referem a ele.

A operadora da Rocinante seria um cibercriminoso conhecido como DukeEugene, anteriormente envolvido em ataques móveis contra usuários tchecos. Também opera outras famílias de malware, como ERMAC, BlackRock, Hook e Loot, de acordo com um relatório de outra empresa de segurança, Silent Push.

A escolha por Rocinante foi feita pelos pesquisadores do ThreatFabric para evitar qualquer tipo de relação ou confusão com o nome Pegasus. Afirmam ainda que o nome vem do cavalo de Dom Quixote que, tal como o seu dono, aspira ser algo que não é.

Modo Operacional

A infecção

Para infectar usuários de Android, o Rocinante é colocado para download em sites de phishing que fornecem “aplicativos falsos (APK)” ou “atualizações de segurança bancária”. Assim que instalados no Android, eles exigem privilégios como acesso ao serviço de acessibilidade para registrar todas as atividades e ler mensagens SMS.

“Assim que a vítima abre o aplicativo e concede os Serviços de Acessibilidade, ela é saudada com uma tela de escolha. Cada escolha acionará uma página de phishing diferente solicitando os dados da vítima (cada página de login difere um pouco com base no banco que o malware está se passando)”, apontam os pesquisadores.

O Rocinante também estabelece Comando e Controle (C2) para obter instruções dos operadores, com capacidade de simular remotamente os toques do usuário. Segundo os pesquisadores, trata-se de um bot do Telegram que exfiltra dados pessoais.

Após a infecção, toda e qualquer ação que a vítima realize em seu smartphone ou tablet — abrir mensagem, e-mail, rede social, banco, etc. — vira evento e Rocinante é notificado. Dessa forma, ele passa a gravar tudo o que for digitado ou pressionado na tela para enviar aos operadores.

“Outra funcionalidade muito importante do malware, e algo que ainda é desenvolvido ativamente pelos criminosos, é a capacidade de realizar ações remotas no dispositivo infectado”, descrevem os pesquisadores. “Ao aproveitar os privilégios do Serviço de Acessibilidade, este malware pode simular toques, gestos e modificar texto contido em EditText e MultiAutoCompleteTextView, que pode ser usado para navegar em diferentes telas da interface do usuário no dispositivo infectado, a fim de iniciar e autorizar transações fraudulentas.”

Como evitar golpes como esse

Rocinante está ativo, porém, ainda está em fase de desenvolvimento pelos cibercriminosos e ganha novas capacidades com o passar do tempo. Além disso, ele não está sozinho: novas famílias e cepas de malware são desenvolvidas diariamente.

De acordo com Kasperskyem 2023, foi possível identificar cerca de 400 mil variantes e novos malwares por dia. O número vem crescendo, em 2021 foram registrados 380 mil diariamente.

Segundo pesquisadores do ThreatFabric, Rocinante ainda traz um cenário de ameaças diferente: os cibercriminosos brasileiros estão interessados ​​em ferramentas maliciosas estrangeiras ou, cada vez mais, trabalhando em conjunto com atores internacionais.

E o que isso significa? Em breve, o cibercrime brasileiro poderá assumir um aspecto mais sofisticado, tecnicamente falando, com o uso mais frequente de malware, spyware, ransomware e trojans desenvolvidos por atores ou grupos cibercriminosos fora da América Latina — não que isso não vá acontecer, o ponto aqui é a frequência.

Você pode dificultar a vida dos cibercriminosos seguindo as seguintes etapas:

• Nunca instale aplicativos fora da Google Play Store e da Apple App Store
• Desconfie de páginas e mensagens que chegam até você com ofertas, promoções ou informações incríveis (seja proativo, em caso de dúvida, e procure canais oficiais)
• Mantenha um bom antivírus instalado no celular e no computador
• Tenha um segundo fator de autenticação em todas as suas contas (se possível, com aplicativo de terceiros, sem SMS)
• Peça ajuda: se tiver dúvidas sobre algum link ou mensagem, pergunte a alguém que entende mais de internet do que você.
• Mantenha seus aplicativos e sistema operacional com a atualização mais recente disponível

Envie seu relatório ou pesquisa

O TecMundo apoia o trabalho de hackers éticos e pesquisadores de segurança. Envie seu relatório ou consulta para: