• Variante do SpyEye Atacando Dispositivos Android

    Publicado em 13-09-2011 23:09
    0 Comentários Comentários
    Uma variante do perigoso SpyEye, chamada SPITMO, foi flagrada em plena atividade, com investidas contra os dispositivos que executam o sistema Android. Devido a essa ocorrência, Amit Klein, diretor de tecnologia da empresa norte-americana de segurança Trusteer, disse que a ameaça representada pelo DriodOS / Spitmo tem aumentado o perigo de ataques de SpyEye, agora que este software malicioso tem sido capaz de mudar os seus métodos de infecção.

    Segundo declarou o especialista, era apenas uma questão de tempo para que o verdadeiro potencial do Spitmo fosse colocado em prática. Quando ele surgiu pela primeira vez em abril deste ano, a F-Secure havia informado em seu blog, que o alvo foram as bases de dados dos bancos europeus. O trojan injeta campos na página de um banco, pedindo ao cliente para introduzir o seu número de telemóvel e o IMEI deste telefone.

    Os especialistas da área de segurança, jamais acreditariam que os fraudadores iriam se prevalecer de um trojan tão poderoso, simplesmente para roubar SMSs; e estavam com toda razão. Através de todas as as informações recolhidas pelo Centro de Inteligência Trusteer, foi descoberta uma abordagem inovadora, muito mais intuitiva e moderna proveniente da SPITMO para a plataforma Android.


    Analisando as Atividades do Trojan

    Em uma análise sob a ótica da atividade do vetor de ataque, Klein faz uma explanação muito interessante: "Quando um usuário navega para o banco alvo de uma certa mensagem, é injetada uma "nova" medida de segurança obrigatória, imposta pelo banco, com a finalidade de usar o seu serviço banking online. A iniciativa "pretende" ser uma aplicação Android, que protege as mensagens SMS do celular, protegendo o usuário contra a fraude.

    Uma vez que o usuário clica em "definir a aplicação", ele recebe mais instruções que irão levá-lo até o download e instalar o aplicativo. Para concluir a instalação, o usuário é instruído a discar o número "325000": dessa forma, a chamada é interceptada pelo malwareAndroid e um código de ativação é apresentado, para que seja enviado mais mais tarde ao "site do banco". Além de esconder a verdadeira natureza dessa aplicação, este "código" não serve para qualquer propósito legítimo.

    A partir do momento em que o cavalo de Tróia foi instalado com êxito, todas as mensagens SMS recebidas são interceptadas e transferidas para o comando do atacante, e para o servidor de controle. Um trecho de código é executado quando um SMS é recebido, criando uma string, que será posteriormente anexada como uma seqüência de consulta a uma solicitação HTTP GET, a ser enviada para a drop zone do atacante.

    Quando é feita a verificação nas URLs (drop), quatro dos nomes de domínio em uso não estão registrados. No entanto, há um deles que não é novo em relação ao SpyEye, o domínio "124ffsaf.com", que até o momento, ainda está tentando ganhar impulso, mas isso é apenas uma questão de tempo. O que torna mesmo tudo isso tão assustador, é que o aplicativo malicioso não fica visível no painel do dispositivo, tornando-se virtualmente indetectável. Os usuários não estão tão conscientes da presença desse elemento nocivo, e terão que tomar medidas sérias para se livrar dele.


    Links de Interesse:

    -SpyEye Variant Actively Attacking Android Devices
    + Enviar Comentário