Introdução
Nossa inteligência de ameaças (TI) mostra que as táticas de entrega de ataque orientada por telefone (TOAD) estão se tornando cada vez mais populares entre os fraudadores que orquestram campanhas de malware bancário para Android. Recentemente, tal caso foi relatado visando clientes de um banco indiano, conforme detectado pelo MalwareHunterTeam.
Durante uma de nossas últimas investigações, os analistas da ThreatFabric descobriram uma rede de sites de phishing visando usuários italianos de bancos online e com o objetivo de roubar suas credenciais bancárias. Pesquisas posteriores definiram uma conexão entre essa rede e o Trojan bancário do Android apelidado de Copybara, que está envolvido na entrega de ataques por telefone realizados pelos agentes da ameaça. A versão mais recente dele introduziu um recurso exclusivo que permite criar e mostrar formas falsas dinâmicas em tempo real. Com o aumento da popularidade dos ataques de phishing de voz (vishing), em que os criminosos treinam as vítimas para instalar malware bancário para Android, estamos entrando em uma nova era de ataques de fraude híbridos. Apesar da popularidade desta técnica, e da clara tendência baseada em campanhas descobertas,
Campanha descoberta segmentando a Itália
A campanha descoberta por nossos analistas tem como alvo vários bancos italianos e seus clientes. Envolve vários sites de phishing que se passam por vários serviços financeiros italianos e escritórios antifraude, como pode ser visto nas seguintes capturas de tela:
Para manter e gerenciar o grande número de páginas de phishing usadas nessas campanhas, os agentes da ameaça usaram vários kits de phishing bastante conhecidos no cenário underground. Esses kits permitem criar facilmente a página de phishing, registrar automaticamente nomes de domínio de phishing e criar um link curto para ser usado na distribuição. Além disso, eles também fornecem um painel que permite manter todos os sites criados e monitorar sua atividade. Tal painel também é fornecido como um serviço por um dos grupos de cibercriminosos do fórum clandestino.
Todos os sites de phishing vistos na campanha solicitam um conjunto semelhante de dados pessoais: número da conta, código PIN, número de telefone. Nossa equipe percebeu que, em alguns casos, os cibercriminosos solicitam às vítimas que escolham perguntas e respostas secretas que foram definidas durante o processo de registro no banco como segundo fator de autenticação. Obviamente, coletar esses dados pode ajudar os cibercriminosos a obter acesso às contas bancárias das vítimas.
Depois de enviar os dados, as vítimas são notificadas de que um operador de suporte entrará em contato com elas em breve (usando o número de telefone coletado anteriormente). Nesse ponto, ocorre o próximo passo da campanha: a instalação do Trojan bancário Android, com a ajuda da operadora, como parte da entrega de ataque orientada por telefone (TOAD). O agente da ameaça liga para as vítimas e dá instruções para instalar o aplicativo de “segurança” necessário no dispositivo da vítima.
As ameaças de entrega de ataques por telefone envolvem ligações diretas entre cibercriminosos (por exemplo, call center mal-intencionado) e uma vítima. Durante essa chamada, a vítima está sendo convencida e instruída a instalar algum software adicional em seus dispositivos para que o agente da ameaça possa realizar mais fraudes. O software instalado pode ser uma ferramenta de acesso remoto legítima que é usada por cibercriminosos para ter um controle remoto sobre o dispositivo da vítima.
No entanto, em alguns casos, a vítima é instruída a baixar e instalar algum software malicioso específico desenvolvido ou mantido por agentes de ameaças. Este é o caso da campanha descoberta pelos analistas da ThreatFabric, que envolve tanto sites de phishing quanto o TOAD subsequente com a instalação do Trojan bancário Copybara Android.
Como ponto de entrada para os cibercriminosos, a vítima é solicitada a instalar um aplicativo de download que fará o download da carga útil real. A carga útil é então instalada como uma atualização para o downloader, substituindo-a.
No entanto, o aplicativo de “segurança” instalado no dispositivo é um Trojan Android, que o ThreatFabric está rastreando como Copybara. Essa família de malware também é chamada de BRATA por alguns pesquisadores. No entanto, nossa inteligência de ameaças mostra que não está relacionado ao BRATA original relatado em 2019 visando usuários brasileiros. Descobrimos diferenças entre várias famílias chamadas BRATA em nosso blog .
Nossa pesquisa também revela o nome da ameaça usada pelos TAs: Joker . Coincidentemente, esse nome também é usado por outra família de malware para Android, geralmente distribuída pelo Google Play, e especializada em roubo de informações pessoais e fraude de serviços de assinatura. ThreatFabric pode confirmar que não há conexão com esta família de malware e a discutida neste blogpost, distribuído via TOAD. Para evitar confusão, vamos nos referir a essa nova família de malware com o nome inicial que atribuímos a ela na descoberta, que é Copybara.
Copybara: Ctrl+C, Ctrl+V, inovações
As primeiras amostras de Copybara vistas pelo ThreatFabric datam de novembro de 2021. Apesar de ter sido referido como BRATA por outros pesquisadores, os analistas do TF conseguiram defini-lo claramente como uma família separada, apesar de usar a mesma estrutura para desenvolvimento. O nome “Copybara” dado por nossos analistas de malware é uma referência ao processo de desenvolvimento de TAs: O código do Copybara tem muitas partes copiadas e coladas diretamente de outros módulos disponíveis publicamente. Às vezes (como por exemplo com o downloader do Copybara) o código é tomado como está com pequenas alterações nas variáveis.
No entanto, tal abordagem não implica diretamente na fraqueza do malware. Apesar do código ser confuso e cheio de seções não ativas, os TAs conseguiram equipar o Trojan com capacidade de acesso remoto, que tenta se passar por atualização de segurança, enquanto os criminosos estão realizando ações no dispositivo infectado “atrás das cortinas”. Enquanto o TA está conectado ao dispositivo infectado, Copybara mostra uma sobreposição falsa que é semitransparente para cobrir as ações dos criminosos cibernéticos.
Ele permite que os atores permaneçam baixos e não chamem a atenção da vítima enquanto realizam ações fraudulentas dentro dos aplicativos bancários, usando dados previamente roubados com phishing. Os recursos RAT do Copybara são alimentados pelo abuso do AccessibilityService: o servidor C2 envia um comando/ação específico para executar e o Copybara o trata com a ajuda de seu mecanismo de acessibilidade. Os TAs podem abrir aplicativos arbitrários, instalar aplicativos adicionais, realizar cliques e furtos, inserir texto nos campos de texto etc.
O TF recebeu relatos de que os TAs usam a capacidade do Copybara de desinstalar pacotes para remover o aplicativo bancário original para deixar a janela de detecção o menor possível.
Outro recurso bastante exclusivo recentemente introduzido pelos autores é a capacidade de construir dinamicamente formulários de entrada falsos e mostrá-los às vítimas. Os atores podem especificar campos de entrada arbitrários, rótulos de texto, caixas de seleção e coletar ainda mais dados das vítimas. No momento, essas formas são bastante simplistas, mas a abordagem dinâmica permite que os TAs usem todo o poder do sistema operacional Android para criar telas de aparência genuína em tempo real.
A lista completa de comandos suportados do Copybara é fornecida abaixo.
| Comando | Descrição |
|---|---|
| SendMsg_changeloopsizefromadm | não é mais usado |
| Send_OutgoingConnection | Inicializar nova conexão remota |
| clique permanente* | Iniciar solicitação para várias permissões |
| clickondisableenablenoti | Abra as configurações de notificações do aplicativo |
| getdevicecalllogs | Carregar contatos do dispositivo para o C2 |
| SendMsg_SendCallDivert | Ligue para o número especificado |
| getdevicegpdata | Enviar dados específicos do dispositivo |
| enviarfaknotiinfo | Crie uma notificação com título e texto especificados |
| wsh_setkeylogapp | Especifique o destino para keylogging |
| wsh_LoadKeyLogData | Carregar dados de keylogging para o C2 |
| SendMsg_ClickAddLockNewF | Exibir nova sobreposição |
| SendMsg_ClickAddLockNewQRCode | Exibir nova sobreposição |
| SendMsg_ClickBackButton | Execute clique no botão “Voltar” |
| SendMsg_ClickView | Executar clique por coordenadas |
| SendMsg_ClickSwipe | Deslize por coordenadas |
| SendMsg_OpenApp | Iniciar aplicativo especificado |
| SendMsg_SendTextToView | Definir texto especificado |
| SendMsg_SendTextToViewFromKey | Definir texto especificado |
| SendMsg_RefreshData | Limpar todas as notificações |
| SendMsg_ClickHomeButton | Execute clique no botão “Home” |
| SendMsg_ClickRemoveLock | Fechar sobreposição |
| SendMsg_DisconnectFromB4J | Fechar conexão remota |
| SendMsg_OpenRecentApps | Abra a lista de aplicativos recentes |
| SendMsg_formatdevice | Executar a formatação do dispositivo |
| SendMsg_sendmesc | Enviar captura de tela para o C2 |
| SendMsg_closescreenshot | Parar a transmissão |
| SendMsg_ClickAddLock | Exibir sobreposição |
| SendMsg_StartScrl | Executar rolagem |
| SendMsg_Uninstallapp | Desinstalar o aplicativo especificado |
| SendMsg_UninstallThisapp | Desinstalar-se |
| SendMsg_DeleteApp | Excluir aplicativo da lista de bloqueados |
| SendMsg_Blockapp | Adicionar aplicativo à lista de bloqueados |
| SendMsg_DialNumber | Ligue para o número especificado |
| construir o formulário | Construir dinamicamente a atividade |
| SendMsg_USSDKeys | Atividade aberta para solicitação USSD |
| wsh_sendsmsmessages | Enviar mensagens SMS |
| SendMsg_SendSMSToNumber | Enviar SMS para o número especificado |
| wsh_WakeupPhone | “Acorde” o dispositivo enviando cliques |
| downinstapp | Baixe e instale o aplicativo especificado |
Não só Copybara
Uma investigação mais aprofundada da infraestrutura utilizada pelo(s) agente(s) da ameaça revela certos vínculos interessantes com outros cavalos de Troia. Uma das campanhas envolveu o roubo de Trojan de SMS. Este malware é bastante simples em suas capacidades, permitindo apenas que os atores obtenham controle sobre as mensagens recebidas: todas as mensagens SMS recebidas são carregadas no servidor do TAs, permitindo que o TA realize a chamada fraude de “registro de novo dispositivo” e registre em outro canal (por exemplo, web) e interceptar todos os OTPs enviados pelo banco para validar o login e outras transações.
Conclusão
Os casos de entrega de ataques orientados por telefone (TOAD) estão se tornando uma tendência no atual cenário de ameaças móveis. A abordagem pessoal com técnicas de engenharia social permite que os cibercriminosos enganem vítimas inocentes e obtenham instalações de seus cavalos de Troia com alta probabilidade de sucesso. Além disso, a maioria dos casos acaba instalando algumas ferramentas legítimas de acesso remoto que não são sinalizadas/detectadas pelos mecanismos antivírus.
Acreditamos que casos tão complicados envolvendo a interação entre o ator de ameaça e a vítima não devem ser abordados de maneira convencional e tradicional. A análise de comportamento alimentada por uma forte inteligência de ameaças é uma maneira de lidar com essas atividades fraudulentas, pois fornece indicadores adicionais para detectar atividades suspeitas.
Pacote de Risco de Fraude
O Fraud Risk Suite da ThreatFabric permite jornadas on-line seguras e sem atrito, integrando inteligência de ameaças móveis líderes do setor, análise comportamental, impressão digital avançada de dispositivos e mais de 10.000 indicadores de fraude adaptáveis. Isso dará a você e a seus clientes tranquilidade em uma era de fraudes em constante mudança.
Apêndice
Amostras do Copybara Dropper
| Nome do aplicativo | Nome do pacote | SHA-256 |
|---|---|---|
| iSecurity | com.app.applaunch20 | 4d9af2be2c55cf306391b10cc1c893f00205e5590c0f5b59e20e2d0b994cffdc |
| iSecurity | com.app.applaunch | 70842ada0a36eb9448797c4168bd46ac6d523cfccf6e53f79f8e40f2d5c1a257 |
Amostras Copybara
| Nome do aplicativo | Nome do pacote | SHA-256 |
|---|---|---|
| Token BNL | com.apk.bnl.token | 30b40d95bdd149ba5636de91b80aa60421d1d148032d65f9a8d4f36ef0e0de55 |
| Banca Sicura | com.com.gruppoisp |
Fonte: Threat Fabric
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
