Apps do Google Play soltam o malware bancário Anubis e usam táticas de evasão baseadas em movimento

São Paulo, janeiro de 2019 – Os pesquisadores da Trend Micro descobriram dois aplicativos maliciosos na Google Play que disparam malwares bancários de grande alcance. Ambos foram disfarçados como ferramentas úteis, chamadas Currency Converter e BatterySaverMobi. O Google confirmou que eles não estão mais na Play Store.

O aplicativo de bateria registrou mais de 5 mil downloads antes de ser removido e recebeu uma pontuação de 4.5 estrelas de 73 revisores. No entanto, uma análise criteriosa das resenhas publicadas mostra sinais de que elas podem não ser válidas, pois alguns nomes de usuários anônimos foram vistos, e algumas declarações de revisão são ilógicas e faltam detalhes. 

Figura 1.
Figura 1.
Figura 1.

Imagens dos aplicativos maliciosos no Google Play

Os pesquisadores da Trend Micro analisaram essa campanha e descobriram que os aplicativos soltaram uma carga maliciosa vinculada ao conhecido malware bancário Anubis (detectado pela Trend Micro como ANDROIDOS_ANUBISDROPPER). Eles notaram que o código é surpreendentemente semelhante às amostras conhecidas do malware. Os pesquisadores viram também que ele se conecta a um servidor de comando e controle (C&C) com o domínio aserogeege.space, que também está vinculado ao Anubis.

Além desse servidor, 18 outros domínios maliciosos mapearam para o endereço IP 47.254.26.2 e confirmaram que o Anubis usa o subcaminho desses domínios. Esses domínios alteram os endereços IP com bastante frequência e podem ter modificado seis vezes desde outubro de 2018, mostrando o quão ativa é essa campanha em particular.

Tabela 1.

Distribuição de Vistos para todas as amostras do BatterySaveMobi

Como os aplicativos evitam a detecção

Esses aplicativos não usam apenas técnicas tradicionais de evasão, mas também tentam usar os movimentos do usuário e do dispositivo para ocultar suas atividades.

Conforme um usuário se move, o dispositivo normalmente gera uma certa quantidade de dados do sensor de movimento. O desenvolvedor do malware está assumindo que o ambiente de simulação para verificação de malwares é um emulador sem sensores de movimento e, como tal, não cria esse tipo de dados. Se esse for o caso, o cibercriminoso pode determinar se o aplicativo está sendo executado em um ambiente de simulação, simplesmente procurando dados do sensor.

O aplicativo malicioso monitora as etapas do usuário por meio do sensor de movimento do dispositivo. Se perceber que o usuário e o dispositivo não estão se movendo (se não houver dados do sensor, eles podem, portanto, estar em execução em um ambiente de simulação), o código mal-intencionado não é executado.

Se o código malicioso for executado, o aplicativo tenta enganar os usuários para que baixem e instalem seu APK com uma atualização de sistema falsa.

Fig 3

Atualização do sistema falso

Uma das maneiras pelas quais os desenvolvedores de aplicativos ocultam o servidor malicioso é codificando-o em solicitações do Telegram e do Twitter. O disparador do malware bancário envia a solicitação após confiar no dispositivo em execução. Ao analisar o conteúdo HTML da resposta, ele obtém o servidor C&C (aserogeege.space).

Em seguida, ele registra-se no servidor C&C e verifica os comandos com uma solicitação HTTP POST. Se o servidor responder ao aplicativo com um comando APK e anexar o URL de download, a carga útil do Anubis é descartada em segundo plano. Ele tenta enganar os usuários para que instalem com a falsa atualização do sistema.

Fig 4

A URL do servidor codificado, mostrando os resultados do texto na URL do servidor C&C

Aqui pode ser acessado o conteúdo direto no blog da Trend Micro.

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de segurança cibernética, ajuda a proteger o mundo virtual para o intercâmbio de informações digitais. Nossas soluções inovadoras para consumidores, empresas e órgãos governamentais oferecem segurança em camadas para data centers, ambientes de nuvem, redes e endpoints. Todos os nossos produtos operam juntos para compartilhar informações de ameaças e oferecer recursos de segurança com visibilidade e controle centralizados, gerando uma proteção cada vez mais forte e ágil. Com mais de 6 mil funcionários em mais de 50 países e a inteligência global contra ameaças mais avançada do mundo, a Trend Micro protege o seu mundo conectado. Para saber mais, acesse www.trendmicro.com.br

RMA Comunicação

Alisson Costa – alisson.costa@agenciarma.com.br – (11) 2244-5918

Cecília Ferrarezzi – cecilia.ferrarezzi@rmacomunicacao.com.br – (11) 2244-5967Thais Amaral – thais.amaral@agenciarma.com.br – (11) 2244-5953