Utilizar aplicativos móveis legítimos para proliferar ameaças é um modus operandi comum dos cibercriminosos. Os hackers se baseiam na popularidade dos apps e, ao alcançar suas vítimas, utilizam o golpe para roubar informações ou distribuir payloads.
De acordo com estudo da Trend Micro, para distribuir seus aplicativos maliciosos, os cibercriminosos geralmente usam lojas de aplicativos de terceiros. No entanto, em operações como as que distribuíam CPUMINER, BankBot e MilkyDoor, hackers tentavam publicar seus aplicativos no Google Play ou na App Store. A empresa constatou também uma abordagem mais sutil que envolve o SMiShing para direcionar possíveis vítimas a páginas maliciosas.
Recentemente, a companhia observou uma campanha que utiliza mensagens SMS como um ponto de entrada para roubar informações do dispositivo infectado chamado de FakeSpy.
O FakeSpy é capaz de roubar mensagens de texto, assim como informações de contas, contatos e registros de chamadas armazenados no dispositivo infectado. O malware também pode servir como um vetor para um trojan bancário. Embora atualmente esteja limitado a infectar usuários falantes dos idiomas japonês e coreano, não será surpresa que o FakeSpy estenda o seu alcance, dada a maneira como os autores da ameaça ajustam ativamente as configurações do malware.
Corrente de ataque
As vítimas recebem uma mensagem de texto (que se passa por uma mensagem legítima) de uma empresa japonesa de logística e transporte solicitando que os destinatários cliquem no link do SMS. O link os redirecionará para uma página web mal-intencionada e, ao clicar em qualquer botão, o comando solicitará que os usuários baixem um pacote de aplicativo Android (APK). A página da Web também tem um guia, escrito em japonês, sobre como baixar e instalar o aplicativo.
Uma análise mais detalhada indica que esta campanha, também tem como alvo, usuários sul-coreanos e está ativa desde outubro de 2017. Para usuários coreanos, o malware de roubo de informações aparece como um aplicativo para várias empresas locais de serviços financeiros ao consumidor. Ao segmentar usuários japoneses, ele se apresenta como aplicativos para empresas de transporte, logística, correio e comércio eletrônico, um serviço de telecomunicações móveis e um varejista de roupas.
Análise técnica
As configurações do FakeSpy, assim como o servidor de comando e controle (C&C), são criptografadas para evitar a detecção. Uma vez iniciado, o malware começará a monitorar as mensagens de texto que o dispositivo afetado recebe.
Essas mensagens SMS são roubadas e carregadas no C&C. Para manipular as funções internas do aplicativo, fazer o download e executar o JavaScript em um site remoto, o malware também utiliza a ponte JavaScript (JavaScriptInterface). Os comandos incluem adicionar contatos ao dispositivo, configurá-lo para silenciar, redefinir o dispositivo, roubar mensagens SMS armazenadas e informações do dispositivo e atualizar suas próprias configurações.
Vetor para um trojan bancário
Além do roubo de informações, o FakeSpy também pode verificar se existem aplicativos de Internet Banking no dispositivo. Se corresponderem aos aplicativos de interesse, eles serão substituídos por versões falsificadas que imitam as interfaces do usuário (UI). Em seguida, os usuários recebem uma notificação pedindo que digitem suas credenciais devido a atualizações feitas no aplicativo para solucionar vazamentos de informações.
Ele também avisa os usuários que sua conta poderá ser bloqueada. As informações roubadas são enviadas ao servidor C&C assim que os usuários clicam no botão de login. Além de aplicativos bancários on-line, também verifica aplicativos usados para comércio de moedas digitais.
Abordagens para ocultar a detecção
Para evitar ainda mais a detecção, o endereço do servidor C&C configurado nos aplicativos é atualizado pelo menos uma vez por dia. É importante notar também que os cibercriminosos por trás do FakeSpy são ativos, pelo menos com base em suas atividades em fóruns e nas URLs relacionadas que registram para hospedar seu malware.
Melhores práticas
O SMiShing não é um novo vetor de ataque, mas com engenharia social, ele pode atrair ou obrigar as vítimas a distribuir dados pessoais ou corporativos, ou direcioná-las para sites de hospedagem de malware. É importante que os usuários pensem antes de clicar, façam o download somente em lojas de aplicativos oficiais e atualizem regularmente as credenciais e os sistemas operacionais e aplicativos do dispositivo. Verifique se existem sinais indicadores de phishing, como erros gramaticais ou certos caracteres usados para falsificar uma URL legítima e, mais importante, tenha cuidado com mensagens não solicitadas que passem a sensação de urgência.
