- No ano passado, houve a detecção de cerca de 145.000 novos programas maliciosos para dispositivos móveis, mais que o dobro que em 2012, e ao todo se descobriram 40.059 amostras de malware.
- Desde o dia 1º de Janeiro de 2014, os registos da Kaspersky Lab já contavam com um total de 143.211 amostras de malware móvel.
- 98,1% de todo o malware móvel detectado em 2013, foi destinado a dispositivos com sistema operacional Android.
- Os cybercriminosos utilizaram, aproximadamente, quatro milhões de aplicações maliciosas para distribuir malware móvel junto de dispositivos Android, e foi detectado um total de dez milhões de aplicações Android maliciosas entre 2012 e 2013.
- Os cinco países com maior número de usuários únicos atacados foram: Rússia (40%), India (8%), Vietnã (4%), Ucrânia (4%) e Reino Unido (3%).
- A maioria do malware móvel detectado no ano de 2013, tinha como objetivo roubar dinheiro dos usuários;
- O número de modificações de malware móvel concebidas para phishing, roubo de informação de cartões bancários e roubo de dinheiro das contas bancárias, cresceu quase 20%;
- Um total de 2.500 tentativas de infecção por Trojans bancários foram bloqueadas por produtos da Kaspersky Lab.
Perigo Crescente dos Trojans Bancários
Como não é novidade para ninguém, os Trojans bancários são o tipo de malware móvel mais perigoso para a segurança dos usuários. Alguns dos casos detectados em 2013 tinham como objetivo, roubar diretamente o dinheiro das contas bancárias da vítima, o que aumenta significativamente as perdas econômicas. Além de tudo, as vulnerabilidades no sistema operacional Android e a sua crescente popularidade, são os fatores mais importantes para explicar o aumento no número de Trojans bancários Android em 2013.
Cybercriminosos são Ávidos por Usar Trojans Bancários em suas Atividades
Os cybercriminosos parecem ter uma verdadeira obsessão relacionada a este método de fazer dinheiro: no início do ano, existiam apenas 64 Trojans bancários conhecidos. Mas no final de 2013, os registos da Kaspersky Lab já contavam com 1.321 amostras únicas dessas pragas. De acordo com Victor Chebyshev, Analista de Vírus da Kaspersky Lab, "nos dias de hoje, a maioria dos ataques de Trojans bancários destinam-se aos usuários na Rússia e da CIS (Comunidade dos Estados Independentes).
Perkele e Corea Wroba
No entanto, é pouco provável que dure muito tempo. Visto o grande interesse dos cibercriminosos pelas contas bancárias dos usuários, a Kaspersky prevê que a atividade dos Trojans online banking, cresça e se alastre para outros países em 2014. "Já sabemos do caso do Perkele, um Trojan para Android que ataca clientes de vários bancos europeus, assim como do programa malicioso Corea Wroba."
O Perkele Trojan Android não só ataca usuários russos, mas também os clientes de vários bancos europeus. É de interesse, principalmente, porque ele opera em conjunto com vários bancos win32-Trojans. Sua tarefa principal é ignorar a autenticação de dois fatores do cliente, no sistema bancário on-line. Devido à natureza específica da sua atividade, Perkele é distribuído de uma forma bastante incomum: quando um usuário entra em um site de internet banking em um computador infectado por malware bancário (ZeuS, Citadel), um pedido com o número de smartphones e do tipo de sistema operacional é injetado no código da página de autenticação.
Esta informação é imediatamente enviada para os cybercriminosos, e o computador exibe o código QR contendo um link para o suposto certificado do sistema bancário on-line. Depois de digitalizar o código QR e instalar um componente baixado no link, o usuário infecta seu smartphone com o programa malicioso, que possui funcionalidade que é de grande interesse para os atacantes.
Uma Forma Cada vez mais Sofisticada de Roubar o Dinheiro:
- Os cibercriminosos recorrem cada vez mais a um método de ofuscação, um ato deliberado de criar código complexo para que seja difícil de analisar. Quanto mais complexo for este método, mais tempo demorará para que uma solução antivírus possa neutralizar o código malicioso, e assim, mais dinheiro poderá ser roubado das vítimas até à detecção.
- Os métodos utilizados para infectar um dispositivo móvel incluem comprometimento de sites legítimos e distribuição de software malicioso através das lojas de aplicações alternativas e bots (os bots disseminam-se a partir do envio de mensagens de texto, com um link malicioso para os contatos da vítima). Os profissionais da Kaspersky Lab também registraram um episódio de malware móvel, espalhando através de uma botnet de terceiros.
- Os cibercriminosos utilizam as vulnerabilidades do Android para incrementar os privilégios de acesso das aplicações maliciosas, que alargam consideravelmente as suas capacidades e tornam mais difícil a eliminação dos programas maliciosos. O fato de só ser possível corrigir as vulnerabilidades do Android através da recepção de uma atualização do fabricante do dispositivo, só complica ainda mais a situação.
Forte Resistência à Proteção Anti-Malware
A capacidade de software malicioso para operar continuamente no dispositivo móvel da vítima, é um aspecto importante de seu desenvolvimento. Quanto mais tempo um cavalo de Tróia "vive" em um smartphone, mais dinheiro ele vai gerar para o proprietário. Esta é uma área em que os criadores de vírus estão trabalhando ativamente, resultando em um grande número de inovações tecnológicas. Os criminosos estão cada vez mais usando técnicas de ofuscação, o ato deliberado de criação de código complexo para torná-lo difícil de analisar.
Quanto mais complexo for o processo de ofuscação, certamente levará mais tempo para que uma solução antivírus possa neutralizar o código malicioso. Significativamente, os criadores de vírus atuais têm dominado fortemente com essas práticas, e isto implica que eles têm feito investimentos consideráveis. Por exemplo, um obscurecimento comercial, que custou € 350, foi usado para trojans e Opfak.bo Obad.a
Detecção do Trojan-SMS.AndroidOS.Svpeng.a
Em meados de julho, os profissionais da Trend Micro Trojan-SMS.AndroidOS.Svpeng.a que, ao contrário de suas contrapartes SMS de Tróia, é focado em roubar dinheiro da conta bancária da vítima, ao invés de agir a partir de seu telefone celular. Ele não pode atuar independentemente, e opera estritamente de acordo com os comandos recebidos a partir do servidor de C & C. Estes programas maliciosos se espalham através de SMS spam e de sites legítimos comprometidos, que redirecionam os usuários móveis a um recurso malicioso. Lá, o usuário é solicitado a baixar e instalar um Trojan, imitando uma atualização do Adobe Flash Player.
Svpeng é capaz de fazer muitas coisas: ele coleta informações sobre o smartphone (IMEI, país, prestador de serviços, o idioma do sistema operacional) e envia para o host através da solicitação HTTP POST. Esta parece ser necessária para determinar o número de bancos que a vítima pode usar. Svpeng, atualmente, só ataca clientes de bancos russos. Normalmente, no entanto, os cibercriminosos usam primeiro uma tecnologia no setor russo da Internet e, em seguida, passam a estendê-la globalmente, atacando os usuários em outros países.
Ele rouba mensagens SMS e informações sobre chamadas de voz. Ele ajuda o atacante a descobrir com quais bancos o proprietário das chamadas de smartphones mantem contato - o trojan recebe uma lista de números de telefone do banco a partir de seu servidor C & C. O trojan rouba o dinheiro da conta bancária da vítima. Na Rússia, alguns dos principais bancos oferecem aos seus clientes um serviço especial, que lhes permite transferir dinheiro do seu cartão de banco para a sua conta de telefone celular. Os clientes precisam enviar uma mensagem de texto a partir de seu telefone, para um número de banco específico. Svpeng envia as mensagens correspondentes aos serviços de SMS de dois bancos.
Ele faz isso para verificar se os cartões desses bancos estão ligados ao número do telefone infectado e para saber o saldo da conta. Se o telefone estiver ligado a um cartão de banco, os comandos são enviados a partir do servidor C & C, com instruções para transferir dinheiro da conta bancária do usuário para seu / sua conta de celular. Além disso, os cibercriminosos então enviam o dinheiro para uma digital wallet ou para um número premium.
Roubo de Informações de Cartão de Crédito
Também vale ressaltar que Svpeng rouba informações de cartão de banco (o número, a data de validade, CVC2/CVV2) imitando o processo de registrar o cartão do banco com Google Play. Se o usuário tiver usando o Play Market, o trojan intercepta o evento e exibe uma janela na parte superior da janela do Google Play, solicitando que o usuário digite seus/suas informações de cartão de banco na janela falsa. Os dados digitados pelo usuário são logo enviado para os cybercriminosos.
Na lista de suas atividades nefastas, ele extorque dinheiro dos usuários, ameaçando bloquear o smartphone: o trojan exibe uma mensagem exigindo o pagamento de US$ 500 para desbloquear o dispositivo. Na verdade, o cavalo de Tróia não bloqueia nada e o telefone pode ser utilizado sem problemas. Mas infelizmente, tem quem se deixe convencer por essa técnica criminosa.
Saiba Mais:
[1] Secure List - Malware Mobile Evolution 2013 http://www.securelist.com/en/analysi...lution_2013#04