Os conhecidos e temidos trojans bancários ZeuS e SpyEye, foram recentemente equipados com um novo módulo que tem como alvo, usuários do sistema Android. Eles alvejam esses usuários, porque utilizam o seu dispositivo como um método de autenticação adicional ao acessar suas contas bancárias online. Entretanto, a fim de efetuar um ataque bem sucedido contra o usuário, tanto através de um computador quanto a partir de seu dispositivo Android, o sistema precisa estar infectado com malware. Dessa forma, os criadores de malware decidiram reduzir os esforços e desenvolveram uma aplicação falsa, que vai apresentar os dois fatores de autenticação.
Carlos Castillo, conceituado pesquisador de segurança da McAfee, disse que esse método malicioso é bastante conhecido por algumas entidades financeiras, e que eles se apresentam como um aplicativo "Generate Token". Na verdade, quando o aplicativo é instalado, o malware utiliza o logotipo e as cores do banco no ícone do aplicativo, com o intuito de passar maior credibilidade ao usuário. Uma vez que o aplicativo é executado, ele exibe uma página HTML / JavaScript que se apresenta como o gerador de sinal. Lembrando que sua visualização, depende muito do banco alvo.
Token Falso e Roubo de Lista de Contatos
Para que o aplicativo tenha sucesso em sua façanha, a vítima deve entrar no primeiro fator de autenticação - caso ela não consiga, o aplicativo retornará um erro. A entrada correta e um clique no botão "Generate" retornará um token falso e, simultaneamente, enviará a senha digitada e outras informações. Esses dados será repassados a um número específico de telefone celular, e para um dos servidores de controle especificados em uma lista no arquivo de configuração do aplicativo falso.
Quando o servidor de controle retornar um SMS contendo mTAN do usuário (Mobile Transaction Number), ele será interceptado pelo aplicativo e enviado para o servidor de controle padrão. De acordo com Castillo, "assim que o registro inicial for feito, o aplicativo malicioso cria um evento de sistema configurado para programar a execução de si mesmo, a qualquer momento".
Quando isso acontece, um serviço de fundo "cria e executa uma discussão", que atende a comandos enviados por servidores de controle. Estes comandos atualizam a maioria das definições de configuração, o servidor da lista, a lista "captch / delete" e o número de telefone usado para receber os mTANs roubados e a senha inicial. O pesquisador também observa que o aplicativo rouba a lista de contatos da vítima, e abre o caminho para futuros downloads de aplicativos maliciosos.
Saiba Mais:
[1] Help Net Security http://www.net-security.org/malware_news.php?id=2037