“F*dam-se os bancos brasileiros”: novo malware roubou milhares de reais

A empresa de segurança ThreatFabric descobriu uma campanha de malware que tem como alvo o Brasil. Multiplataforma, centenas de dispositivos já foram infectados e milhares de reais acabaram roubados.

Chamado de BrasDex, o malware Android se destaca por um sistema de keylogging complexo e um sistema ATS (Sistema de Rastreamento de Candidatos) altamente funcional. Por conta de suas capacidades de “imitar” um banco brasileiro, o software malicioso abre portas para o criminoso gerenciar serviços de acessibilidade e torna possível a extração de credenciais.

O BrasDex ainda possui ligações com o vírus Casbaneiro, conhecido por ser mais ativo em toda a América Latina

A ThreatFabric ainda deixa claro que o malware não atinge apenas smartphones Android, mas também tem a capacidade de infectar computadores.

Faz mais de ano que o BrasDex vem roubando dinheiro. Inicialmente, seus operadores tinham como foco clientes do Banco Santander. Como citado, ele abusa de serviços de acessibilidade para roubar dados, diferente de malwares anteriores que abusavam de um sistema de overlay.

O que é extraído. Fonte: ThreatFabric

Sistema de overlay: quando um malware simula uma página ou mensagem falsa sobrepondo um aplicativo legítimo para roubar credenciais

A empresa de segurança, em sua análise, comenta que a capacidade do BrasDex não se resumo ao roubo de credenciais bancárias, mas também permite que os cibercriminosos tenham controle total do aparelho – o que abre portas para transações fraudulentas de modo automatizado e visualização geral de contas.

Painel do malware. Fonte: ThreatFabric

Como a invasão acontece

Inicialmente, o BrasDex faz uma busca por aparelhos com chips SIM brasileiros. Então, o sistema de pagamento PIX acaba virando o vetor por meio de abuso: não existe vulnerabilidade no sistema PIX, o abuso acontece por meio desse sistema de pagamentos mais rápido que utiliza dados pessoais para transferência.

De maneira resumida: o malware, com script ATS, descobre o elemento de interface correspondente ao banco alvo para enganar o usuário. Isso significa que após entrar no aparelho, uma vítima pode ver notificações de transferências falsas no dispositivo. Essa é a porta de entrada para o aplicativo bancário.

O malware possui um desenvolvimento tão avançado que ele consegue alertar aos operadores ações como “tal aplicação foi aberta”, “senha inserida” e até “falha na obtenção de dados”.

O grande diferencial do BrasDex, e porque ele é tão perigoso, é sua capacidade de fazer toda a infecção e transferências de maneira automatizada, buscando por conta própria quanto dinheiro a vítima possui e abusando também do sistema PIX para realizar rapidamente a movimentação financeira fraudulenta.

É interessante notar que os cibercriminosos deixaram um recado no código do malware

A ThreatFabric revela que mais de 1 mil dispositivos já foram infectados pelo BrasDex. “Sendo famílias de malware independentes e completas, BrasDex e Casbaneiro formam um par muito perigoso, permitindo que o agente por trás deles atinja usuários de Android e Windows em larga escala”, diz a pesquisa da empresa.

“O caso da BrasDex mostra a necessidade de mecanismos de detecção e prevenção de fraudes nos dispositivos dos clientes: pagamentos fraudulentos feitos automaticamente com a ajuda de mecanismos ATS parecem legítimos para backends bancários e mecanismos de pontuação de fraudes, pois são feitos por meio do mesmo dispositivo que normalmente é usado pelo cliente. Assim, é necessária uma solução adequada na primeira fronteira para identificar comportamentos suspeitos durante a transação combinada com visibilidade de ameaças presentes nos dispositivos do cliente”.

A empresa não revelou em detalhes a quantidade de dinheiro roubado. Além disso, é interessante notar que os cibercriminosos deixaram um recado no código do malware, em uma variável encodada em base64: “Fodam-se todos os fucking bancos brasileiros”.

Fonte: @noexceptcpp (Twitter)