Image default
Security

Trojan bancário para Android vem disfarçado de Flash Player

Um novo trojan para o sistema operacional Android chamado de Android/Spy.Agent.SI tem como intenção roubar informações bancárias e contas do Google.

Os pesquisadores de segurança da empresa de segurança ESET disseram que o trojan é distribuído através de sites que disponibilizam um Flash Player para dispositivos Android. A Adobe encerrou oficialmente o desenvolvimento do Flash para o Android em 2012, de modo que este trata-se obviamente de um truque a fim de induzir os usuários a instalarem um APK malicioso em seu sistema.

Após feito o download e iniciado o processo de instalação, o trojan solicitará os direitos de administrador do dispositivo. O usuário dando este direito, estará tornando mais difícil a sua remoção posterior, bem como concederá ao trojan o acesso necessário para realizar os seus ataques sem ser perturbado…

Quando o processo de instalação é concluído, o trojan se comportará como a maioria dos malwares bancários existentes atualmente. Primeiramente reunirá informações sobre o dispositivo do usuário, para em seguida, enviá-las a um servidor de comando e controle (C&C).

Enquanto que versões anteriores realizavam suas ações através de uma codificação em base64, atualmente o trojan começou a utilizar avançadas técnicas de ofuscação e criptografia.

O trojan pode imitar páginas de login de 20 bancos

Após estabelecer uma conexão entre o dispositivo infectado e a central de C&C, os servidores enviarão uma lista de aplicativos que injetarão no sistema alvo páginas falsas de login.

Fonte: http://www.welivesecurity.com
Comunicação com o servidor / Fonte: welivesecurity

Elas estarão sobrepostas em cima do aplicativo original sempre que o usuário iniciá-lo, coletando informações de login e enviando-as em seguida para o servidor de C&C. O fato do trojan não criptografar as credenciais roubadas, há um perigo a mais para os usuários infectados, pois as credenciais dos bancos e do Google são enviadas em texto puro.

Figure_3-txc7p
Credenciais enviadas em texto puro / Fonte: welivesecurity

A ESET diz que até o momento o trojan tem como alvo aplicações financeiras de bancos localizados na Austrália, Nova Zelândia e Turquia. O trojan Android/Spy.Agent.SI também possui a capacidade de interceptar mensagens SMS caso o aplicativo original venha com a tecnologia de autenticação em dois fatores (2FA).

Neste link a ESET fornece instruções de como remover o trojan, juntamente com a lista completa dos bancos alvos e os sites onde o falso Adobe Flash Player para o Android está disponível para download.

Fonte:

http://news.softpedia.com/news/android-trojan-posing-as-flash-player-steals-banking-and-gmail-credentials-501535.shtml

http://www.welivesecurity.com/2016/03/09/android-trojan-targets-online-banking-users/

Posts similares

WickrMe, um mensageiro instantâneo para segurança e privacidade

O Analista

Fundador do Inurl Brasil deixa o projeto

O Analista

Crie scripts NSE para o Nmap utilizando o Halcyon IDE

O Analista