Quatro novas variantes de malware para Android, conhecidas como RecruitRat, SaferRat, Astrinox e Massiv, foram detectadas pela equipe zLabs da Zimperium. Essas ameaças estão ativamente envolvidas em campanhas de roubo financeiro, afetando bancos, corretoras de criptomoedas e redes sociais em uma escala global.
As técnicas utilizadas por esses trojans bancários representam um avanço significativo. Ferramentas tradicionais de segurança, que se baseiam principalmente no reconhecimento de assinaturas, têm dificuldade em detectar essas ameaças, tornando-as ainda mais perigosas.
Quatro Famílias, Uma Tática Unificada
Esses malwares utilizam métodos sofisticados para enganar as vítimas em múltiplas fases. RecruitRat utiliza ofertas de empregos fraudulentos como isca, enquanto SaferRat distribui suas amostras a partir de um código compartilhado, identificado como com.example.safeservice. O Astrinox, também documentado pela Cleafy sob o nome Mirax, foi identificado há meses, e o Massiv usa o nome adotado anteriormente pela ThreatFabric.
Independentemente da família, todos seguem uma estratégia de ataque similar, que combina engenharia social, instalação oculta e exfiltração de credenciais financeiras.
A Isca é a Primeira Fase do Ataque
A infecção começa com a indução do usuário a baixar um APK fora da Google Play Store, um processo conhecido como sideloading. Cada variante promove uma fachada diferente: o SaferRat se apresenta como um portal gratuito para plataformas de streaming, enquanto o RecruitRat desenvolve sites de recrutamento elaborados.
O Astrinox imita uma plataforma de contratação e adapta seu conteúdo conforme o sistema operacional do visitante — exibindo um botão de download para Android e uma réplica da App Store para usuários de iPhone. No entanto, não foram encontrados indicadores de comprometimento para iOS, sugerindo que essa imitação visa apenas reforçar a credibilidade.
Instalação Oculta e Persistência Agressiva
Apesar das rígidas barreiras de instalação que o Android impõe, esses trojans conseguem burlar a segurança. O APK inicial, por exemplo, é inofensivo, servindo como veículo para a entrada do verdadeiro malware, que é instalado de forma silenciosa e furtiva. O SaferRat representa essa etapa como uma atualização legítima da Play Store, disfarçando a ação e diminuindo a desconfiança da vítima.
Após a ativação, o malware requer acesso a serviços de acessibilidade, permitindo a monitorização e interação com a interface de outros aplicativos. Aproveitando-se disso, ele realiza ações furtivas, como capturar credenciais diretamente do usuário.
Detecção Quase Zero por Design
Os trojans manipulam a estrutura dos arquivos APK para evitar a detecção, utilizando técnicas como compressão inválida e injeção de bandeiras de criptografia falsas. O Astrinox ainda criptografa o payload e transmite dados sigilosos, ocultando informações críticas de ferramentas de análise anteriores à montagem.
Como O Roubo Ocorre
Uma vez que o malware está instalado, ele verifica os aplicativos financeiros presentes no dispositivo e prepara sobreposições visuais que se apresentam como interfaces legítimas. Quando um usuário abre um aplicativo bancário, o malware imediatamente exibe uma tela falsa, capturando as credenciais inseridas.
Além disso, as variantes também conseguem coletar PINs e senhas através de telas de bloqueio falsas, permitindo alteração de configurações essenciais e mantendo o controle dos dispositivos. Três dessas famílias ainda implementam keylogging, descaracterizando sistemas de autenticação em duas etapas.
Infraestrutura Centralizada e Modelo de Serviço
Os malwares operam através de servidores de comando e controle usando protocolos como HTTPS. Esta centralização facilita um modelo de "malware como serviço", permitindo que indivíduos sem conhecimento técnico aprofundado se envolvam nas campanhas, acessando a infraestrutura mediante pagamento.
Acompanhe as atualizações de tecnologia e segurança na TecMania para se manter informado sobre as últimas ameaças e como se proteger.