Malware bancário se passava por app legítimo na Play Store

cleandroidUm malware bancário chamado “Clean Droid” simulava ser um aplicativo que melhorava o desempenho de smartphones Android e também encontrou seu caminho dentro da Play Store, loja oficial da Google. Antes de ser derrubado da loja de apps, o Clean Droid teve mais de 500 instalações.

Segundo Lukas Stefanko, pesquisador da ESET, o malware também foi compartilhado por meio de anúncios patrocinados no Facebook. O pesquisador ainda nota que o Clean Droid fazia parte de uma família de malwares que envolvia um aplicativo para monitorar o Facebook chamado “Quem viu teu perfil” que contou com mais de 10.000 instalações, e um aplicativo chamado “MaxCupons” que registrou 1.000 instalações da loja oficial do Google.

Os três aplicativos maliciosos foram especificamente desenvolvidos para infectar usuários no Brasil

“Depois de instalados, esses aplicativos solicitavam que os usuários ativassem os serviços de acessibilidade”, explica a ESET. “Dessa forma, o malware obtinha o nome e o conteúdo de aplicativos legítimos que tivessem sido executados. O objetivo desses aplicativos é induzir os usuários a inserir seus dados de acesso no contexto de uma atividade falsa causada pela infecção. Nesse sentido, essa família de trojans tentava afetar cerca de 26 aplicativos móveis legítimos, dos quais nem todos são apps bancários, mas também financeiros, de entretenimento, mídias sociais, compras on-line, entre outros”.

Caso você tenha qualquer aplicativo desses instalado, a solução agora é fácil: basta fazer o processo de desinstalação.

Fonte: Tecmundo

Malware bancário disfarçado de app legítimo

apps_atingidosA ESET revelou nesta semana uma nova família de malware bancário direcionada a usuários brasileiros. Sua propagação ocorre por meio da loja oficial do Google Play e de anúncios patrocinados no Facebook.

Trata-se de um malware bancário que simula ser um aplicativo para melhorar o desempenho do dispositivo, com o nome “Cleand Droid” e que registrou mais de 500 instalações; um app para monitorar o Facebook chamado “Quem viu teu perfil” e que contou com mais de 10 mil instalações; e outro denominado “MaxCupons” e que obteve mil downloads da loja oficial do Google.

Segundo Lukas Stefanko, pesquisador de malwares da ESET, explica que, para ficar fora do alcance dos radares, esses aplicativos maliciosos só poderiam ser baixados e instalados no Brasil. Os apps já foram reportados para a equipe de segurança do Google.

De acordo com os dados registrados, o app “Quem viu teu perfil” estava disponível no Google Play há pelo menos um mês. Já as duas páginas do Facebook foram criadas no dia 24 de outubro e usam a mesma imagem de perfil da loja do Google. Uma das páginas estava localizada na cidade de São Paulo, conforme a descrição no Facebook, provavelmente para atrair mais pessoas dessa cidade em particular.

Função maliciosa desses aplicativos

Depois de instalados, os apps solicitavam que os usuários ativassem os serviços de acessibilidade. Dessa forma, o malware obtinha o nome e o conteúdo de aplicativos legítimos que tivessem sido executados. O objetivo desses malwares é induzir os usuários a inserir seus dados de acesso no contexto de uma atividade falsa. Assim, essa família de trojans tentava afetar cerca de 26 aplicativos móveis legítimos, dos quais nem todos são apps bancários, mas também financeiros, de entretenimento, mídias sociais, compras online, entre outros.

Na ilustração deste post você pode ver a lista de aplicativos legítimos afetados pela nova família de malware para Android.

Como remover esses apps maliciosos?

Segundo Stefanko, os cibercriminosos por trás dessa ameaça não implementaram nenhum tipo de proteção para impedir ou dificultar a desinstalação dos aplicativos, portanto, basta entrar na configuração e na lista de aplicativos instalados e clicar na opção “desinstalar”.

Fonte: IDGNow!

Malware bancário usa Dropbox como hospedagem

malware_novoProfissionais de segurança da Trend Micro detectaram recentemente uma tentativa de ataque por meio da engine de New Domain do produto Deep Discovery, responsável por gerar alertas quando um domínio novo é utilizado. Classificado como Banload, o malware tem como objetivo o roubo de dados bancários das vítimas infectadas.

A primeira detecção feita pelo Deep Discovery Inspector foi a chegada de um e-mail com uma URL utilizando um domínio novo na base de reputação da Trend Micro. Em uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, o atacante enviou um endereço que direciona o usuário ao download do arquivo malicioso.

O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox. O atacante usou da engenharia social para fazer com que as vítimas usassem o link enviado e fossem infectadas: o assunto do e-mail era “Segue o comprovante de depósito”.

Após a vítima ser infectada, começa a comunicação com o servidor de comando e controle do atacante. O protocolo utilizado na comunicação entre a máquina infectada e a comunicação C&C era o HTTP.

De acordo com os analistas da Trend Micro, a utilização de um User-Agent personalizado apresentou-se muito mais significativa do que o observado: em uma das primeiras ações, o malware identificou o nome da máquina infectada e possibilitou ao C&C fazer um registro daquela infecção.

O C&C é mantido no Brasil, em uma grande empresa de hosting. Dentro de um diretório chamado Play, o atacante mantém uma página falsa de atualização do Adobe Flash, que redireciona o usuário para a URL mencionada no começo do artigo. Após o usuário clicar no link para “visualizar o comprovante de depósito” é exibida uma página informando ser necessário atualizar o flash e o usuário é redirecionado para um diretório do Dropbox, onde o malware está hospedado.

Os pontos que mais chamaram a atenção da Trend Micro durante análise do malware foram:

– Técnicas de evasão de análise em Sandbox: o malware pode detectar se sua execução está ocorrendo em um ambiente real ou simulado. Por meio do Deep Discovery Analyzer é possível iludir o malware utilizando técnicas anti-evasão;

– Download de módulos externos: foram detectados módulos adicionais para a captura das teclas, permitindo o roubo de senhas bancárias da vítima.

Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação tinha o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.

A Trend Micro informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.

Agradecemos ao Davi, colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDGNow!

Brasil: segundo no ranking dos malwares bancários

ranking_malware_bankerQue levante a mão quem nunca recebeu um e-mail malicioso supostamente enviado pelo banco, mas que, na verdade, partiu das mãos de hackers. Os malwares bancários são uma das principais pragas virtuais da atualidade e, por mais que sejam um truque velho, ainda funcionam muito bem, como prova um grande crescimento nas campanhas que utilizam o Dridex, um dos principais trojans deste segmento.

A mensagem enviada por e-mail afirma que a conta bancária do usuário foi comprometida por terceiros, trazendo até mesmo um IP do suposto responsável. Junto dessas informações está um arquivo compactado com o que os hackers afirmam ser um relatório completo, mas que, na verdade, traz o próprio Dridex. Uma vez executado, ele começa a infectar a máquina e aguarda pela utilização do internet banking de forma a obter os dados de acesso.

Apesar de utilizar um método clássico, a nova campanha de ataques modifica sua atuação. Em vez de falar em recadastramento de senhas ou ativações, a mensagem maliciosa brinca com o medo dos clientes ao falar em ataques, ironicamente, justamente aquilo que acontecerá com o usuário caso ele baixe o arquivo anexado ao e-mail. Até mesmo um certificado legítimo, obtido a partir de um software liberado pela Microsoft, é exibido, de forma a passar uma aparência de veracidade à comunicação.

Vice campeão em malware bancário

A campanha de infecção teria como alvo países específicos e o Brasil já é o segundo mais atingido pela praga. Em nossa frente está apenas os Estados Unidos, e, atrás, estão China, Alemanha e Japão. Não se sabe, entretanto, a taxa de sucesso dos hackers, apenas que, do total de e-mails enviados pelos criminosos, 8,3% seriam direcionados a usuários brasileiros.

Tentativas de ataque utilizando o Dridex, entretanto, já são antigas e existem ocorrências de grandes campanhas usando esse malware desde meados de 2014. Sua versatilidade e reprogramação simples o tornam uma boa alternativa para os hackers, que, de tempos em tempos, realizam grande chuva de e-mails infectados antes de voltarem à prancheta, trabalharem a praga novamente e iniciarem um novo golpe.

Algumas recomendações de segurança simples, entretanto, podem garantir que o cliente não seja infectado. Seu banco dificilmente entrará em contato por e-mail caso sua conta seja comprometida — mensagens de texto ou ligações são normalmente o método usado para isso. Sendo assim, desconfie de qualquer mensagem deste tipo, mesmo que ela venha de remetentes conhecidos e confiáveis, e nunca abra arquivos anexos.

Além disso, é sempre importante ter softwares antivírus e firewalls instalados e funcionais no computador, eles ajudam a detectar uma ameaça e a bloquear a sua atuação caso o próprio usuário acabe vacilando. Se desconfiar de qualquer coisa, evite acessar o internet banking e faça uma limpeza no computador, mesmo que, para isso, seja preciso buscar mão de obra especializada.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e Trend Micro

Malware bancário Dridex se espalha na Internet

DridexO Trojan Dridex surgiu como uma das ameaças mais perigosas às instituições financeiras em 2015. O número de infecções detectadas pela Symantec subiu de maneira significativa ao longo do ano. Entre janeiro e abril, havia menos de 2 mil infecções por mês, número que atingiu quase 16 mil em junho, antes de cair e se estabilizar entre 3 mil e 5 mil por mês no último trimestre.

As campanhas de spams espalhando Dridex (detectado pela Symantec como W32.Cridex) às vezes pode sobrecarregar as organizações atingidas por elas. Em análises recentes dessas campanhas, a Symantec descobriu que a operação do malware continua se dando em grande escala, com milhões de novos e-mails enviados diariamente. Os hackers por trás do Dridex são disciplinados e arrojados: operam em uma semana de trabalho normal, aperfeiçoando continuamente o malware, e fazem um esforço significativo para camuflar suas campanhas de spam como se fossem e-mails legítimos.

Pelo menos 145 campanhas de spam Dridex foram observadas durante um período de 10 semanas. O número de e-mails bloqueados pela Symantec por campanha foi de mais de 270 mil, o que indica que o número total de malwares espalhados a cada dia atinja a casa dos milhões. Cerca de 75% dessas campanhas usaram ??nomes de empresas reais no endereço do remetente e, frequentemente, no texto de e-mail. A grande maioria estava disfarçada de e-mails financeiros, como faturas, recibos e ordens de pagamento.

O Dridex está focado, principalmente, em clientes de instituições financeiras de países ricos que falam inglês, como os Estados Unidos, Reino Unido e Austrália. Mas já foram detectados ataques também em países de língua não inglesa na Europa e na região da Ásia-Pacífico. O malware é configurado para atingir clientes de cerca de 300 diferentes organizações em mais de 40 regiões.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Malware usa função do próprio Windows para bloquear antivírus

Malware_bankerUm malware bancário descoberto no Japão está usando o próprio Windows para se defender de programas de segurança. Identificada pela Trend Micro como BKDR_VAWTRAK, a ameaça utiliza uma função do sistema chamada de Software Restriction Policies (SRP) para impedir que antivírus de diferentes desenvolvedores sejam executados.

O recurso foi apresentado pela primeira vez no Windows XP e no Windows Server 2003, e, na teoria, serve para que administradores impeçam determinados programas (ou até um vírus) de funcionar. Ele pode identificar software que não devem rodar na máquina de quatro formas diferentes: pela hash deles (a “impressão digital”, de certa forma), pelo certificado de validade, pelo local em que eles estão instalados ou pela origem do download no Internet Explorer.

No caso, a técnica utilizada pelo malware para reverter a situação é a terceira. Ele é capaz de identificar mais de 50 software de segurança diferentes (soluções da Avast, da AVG, da ESET e da própria Trend, inclusive), e consegue procurar pelas pastas deles dentro do diretório “Arquivos de Programas”, onde normalmente ficam instalados. E quando encontra algo, o VAWTRAK adiciona uma nova linha no registro da máquina, fazendo com que o respectivo antivírus só consiga rodar com “privilégios restritos”.

A Trend Micro afirma que esta não é a primeira vez que um vírus consegue fazer isso. Mas o caso deste malware bancário, que consegue roubar credenciais de usuários de internet banking, ganhou atenção devido a sua “popularidade” no Japão – o país já é o segundo mais afetado por ameaças do tipo no mundo, atrás apenas dos Estados Unidos.

A prevenção sugerida pela empresa, aliás, é a típica: mantenha um antivírus instalado e atualizado no computador. Dessa forma, eles conseguem bloquear o VAWTRAK antes que ele comece a agir na máquina, limitando o funcionamento da proteção.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Encontrado malware bancário no site do Google Code

malware_banker
A Trend Micro informou que localizou, no Brasil, um malware desenvolvido em linguagem Java que faz download do malware BANKER a partir de um projeto recém-criado denominado “flashplayerwindows”, que – naturalmente – não tem nenhuma relação com a Adobe.
O arquivo – detectado como JAVA_DLOAD.AFJ é um arquivo compilado que faz o download e executa o “AdobeFlashPlayer.exe”, que foi verificado ser malicioso (e detectado como TROJ_BANLOAD.JFK). Uma vez executado, o trojan conecta com o Google Code (que é um site de código aberto oficial do Google destinado a desenvolvedores para que hospedem o código fonte do seu programa e arquivos relacionados, principalmente em formato de texto) para efetuar o download de outros arquivos. As pessoas por trás dessa ameaça devem ter realizado o upload desses arquivos na página do Google Code, os quais possuem – claramente – variáveis do BANKER.
Esses malwares são conhecidos por roubar informações bancárias e de email. Tipicamente, eles executam sua rotina de roubo de dados ao fazer uso de sites de phishing que se parecem com sites bancários, para atrair os usuários e divulgar suas informações. Uma vez tendo acessado esses dados, eles podem usá-los para iniciar transações não autorizadas como transferências de valores.
Anteriormente, o BANKER tinha sido encontrado hospedado em sites do Governo Brasileiro, o que afetou usuários do Brasil, EUA e Angola.
Além do perigo do BANKER, o uso de um site conhecido, como o Google Code, é um bom disfarce para os cibercriminosos. O malware sendo hospedado em um site oficial do Google significa que ao baixar o arquivo malicioso, ele vai ser criptografado com certificados SSL válidos, que podem burlar as tecnologias de segurança tradicionais. Como o Google é um domínio legítimo e respeitado, serviços de reputação web tradicionais podem acabar não impedindo o download.
Se essa ameaça parece familiar, é porque o abuso de sites de projetos open-source já foi cometido antes. Em junho passado, a Trend Micro publicou em seu blog as variáveis GAMARUE sendo hospedados no SourceForge que – como o Google Code – é popular entre desenvolvedores e usuários.
Este incidente mostra que, como a Trend Micro já havia previsto para 2013, legítimos provedores de nuvem, como Google Code, são suscetíveis de serem atacados este ano. Com isso, podemos esperar que casos semelhantes irão aparecer (e aumentar) nos próximos dias.
Por fim, a Trend Micro informou ainda que os arquivos não estão mais disponíveis no Google Code.
Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência  a essa notícia.
Fonte:  Adrenaline