• "ZeuS" e "SpyEye" Atacam Usuários do Sistema Android

    Publicado em 19-03-2012 22:30
    0 Comentários Comentários
    Os conhecidos e temidos trojans bancários ZeuS e SpyEye, foram recentemente equipados com um novo módulo que tem como alvo, usuários do sistema Android. Eles alvejam esses usuários, porque utilizam o seu dispositivo como um método de autenticação adicional ao acessar suas contas bancárias online. Entretanto, a fim de efetuar um ataque bem sucedido contra o usuário, tanto através de um computador quanto a partir de seu dispositivo Android, o sistema precisa estar infectado com malware. Dessa forma, os criadores de malware decidiram reduzir os esforços e desenvolveram uma aplicação falsa, que vai apresentar os dois fatores de autenticação.



    Trojans Bancários Elegeram Usuários do Sistema Android como Alvo

    Carlos Castillo, conceituado pesquisador de segurança da McAfee, disse que esse método malicioso é bastante conhecido por algumas entidades financeiras, e que eles se apresentam como um aplicativo "Generate Token". Na verdade, quando o aplicativo é instalado, o malware utiliza o logotipo e as cores do banco no ícone do aplicativo, com o intuito de passar maior credibilidade ao usuário. Uma vez que o aplicativo é executado, ele exibe uma página HTML / JavaScript que se apresenta como o gerador de sinal. Lembrando que sua visualização, depende muito do banco alvo.


    Token Falso e Roubo de Lista de Contatos

    Para que o aplicativo tenha sucesso em sua façanha, a vítima deve entrar no primeiro fator de autenticação - caso ela não consiga, o aplicativo retornará um erro. A entrada correta e um clique no botão "Generate" retornará um token falso e, simultaneamente, enviará a senha digitada e outras informações. Esses dados será repassados a um número específico de telefone celular, e para um dos servidores de controle especificados em uma lista no arquivo de configuração do aplicativo falso.

    Quando o servidor de controle retornar um SMS contendo mTAN do usuário (Mobile Transaction Number), ele será interceptado pelo aplicativo e enviado para o servidor de controle padrão. De acordo com Castillo, "assim que o registro inicial for feito, o aplicativo malicioso cria um evento de sistema configurado para programar a execução de si mesmo, a qualquer momento".

    Quando isso acontece, um serviço de fundo "cria e executa uma discussão", que atende a comandos enviados por servidores de controle. Estes comandos atualizam a maioria das definições de configuração, o servidor da lista, a lista "captch / delete" e o número de telefone usado para receber os mTANs roubados e a senha inicial. O pesquisador também observa que o aplicativo rouba a lista de contatos da vítima, e abre o caminho para futuros downloads de aplicativos maliciosos.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/malware_news.php?id=2037
    + Enviar Comentário