Combatendo o Trojan BankBot

O BankBot, um Trojan muito simples e perverso, tem atacado dispositivos Android desde 2016. Agora ele está de volta, mais forte do que nunca. Esse Trojan acabou ficando conhecido graças a sua interessante combinação de ferramentas maliciosas, como a capacidade de enviar e ler mensagens SMS, apagar mensagens SMS recebidas pelo usuário e silenciar sons e vibração do dispositivo. Ainda mais preocupante é a sua capacidade de injetar conteúdo fraudulento sobreposto a aplicativos bancários confiáveis e roubar silenciosamente informações privadas dos usuários. E as más notícias não param por aí: ele é compatível com versões do Android até a 6.0 Marshmallow.

Isso não é nenhuma novidade (o código-fonte desse Trojan foi vazado em dezembro de 2016), mas o BankBot virou notícia recentemente por causa de uma enorme campanha de malware detectada em uma aplicação disponibilizada no Google Play, a loja oficial Android. A descoberta recente do ataque revelou que mais de 420 bancos em todo o mundo foram afetados pelas injeções maliciosas do Trojan.

O nome do pacote Android malicioso era “Funny Videos 2017” (Vídeos Engraçados 2017). Ele prometia conteúdo hilário após a instalação, mas mostrava sua verdadeira faceta nefasta quando conseguia permissões de administrador nos dispositivos dos usuários. Aí já não era mais tão engraçado. Embora ele não esteja mais disponível no Google Play, podemos aprender duas lições importantes desse ataque: a primeira é sobre a potência que um ataque pode ter quando o seu código-fonte é compartilhado; a segunda refere-se ao risco ao qual as pessoas que usam lojas não oficiais Android estão expostas.

O poder do código aberto
Como na maioria dos casos, duas cabeças pensam melhor que uma quando o assunto é software. Já está bem claro que famílias de malware como Zeus se tornam mais populares depois do vazamento dos seus códigos-fonte, o que leva ao surgimento de versões novas e mais sofisticadas. Como o Trojan BankBot pode demostrar, essa é uma das melhores estratégias para aperfeiçoar um Trojan.

No caso do BankBot, o código foi vazado em 2016, revelando ser bem simples e eficiente. Ele não tinha qualquer obfuscação: somente criava um bot após a compilação (não havia qualquer injeção em outro APK). O que é pior: o autor foi gentil o suficiente para destacar todos os passos necessários para lançar o ataque, tornando extremamente fácil para qualquer pessoa entender o que ele faz e como ele funciona.

Um aspecto notável desse código é que as entidades-alvo estavam gravadas dentro da própria aplicação Android, tornando difícil para os fraudadores fazer upgrades no ataque sem criar e lançar uma nova aplicação.

Mas esse problema foi resolvido pela engenhosa comunidade de malware. As últimas amostras do ataque mostram como os cibercriminosos conseguiram automatizar a lista de entidades-alvo, permitindo que os fraudadores lancem ataques e atualizem a lista de organizações apenas alterando a lista no servidor C2.

O que é ainda mais grave é que os fraudadores tornaram mais difícil realizar engenharia reversa para essas amostras maliciosas ao incluírem uma camada adicional de obfuscação do código. Eles conseguiram inserir essa carga maliciosa em uma aplicação diferente e carregá-la para o Google Play, reduzindo as taxas de detecção por fornecedores de antivírus e aumentando a confiança dos usuários interessados em instalar essa criação maliciosa.

Todas essas ações criam um bot novo, demonstrando como esforços comunitários podem transformar um código bem simples e “educativo” em um perigo real para quase qualquer pessoa com um aparelho Android.

Lojas Android não oficiais
O perigo não acaba por aí. Neste momento, em diversas lojas não oficiais de aplicativos, você pode baixar o APK, o que significa que qualquer usuário um pouco mais ingênuo pode acabar caindo nesse golpe.

Se você jogar “Como fazer root no seu Android” em inglês no Google, você encontrará aproximadamente 17 milhões de resultados. Esse é um número enorme, e você pode ter certeza de que milhares de pessoas fazem root no celular e baixam aplicativos APKs de lojas de aplicativos todos os dias. E o que isso significa? Isso significa simplesmente que, ao se aventurarem fora do Google Play, os usuários finais se colocam em risco.

E quais são as minhas recomendações?

• 1 – Monitore todas as lojas de aplicativos – oficiais e não oficiais. Como vimos, aplicativos falsos conseguem se esconder por trás de marcas conhecidas, mesmo em lojas oficiais;

• 2 – Verifique se os dispositivos que instalarão o seu aplicativo estão sob risco e tome as medidas necessárias para assegurar que o seu aplicativo somente seja executado em ambientes seguros;

• 3 – Implemente autenticação multifatorial como parte do seu aplicativo. SDKs de autenticação para dispositivos móveis se integram diretamente no seu aplicativo e criam uma impressão digital baseada em hardware do dispositivo do usuário final. Cada solicitação de login é analisada para confirmar a identidade do usuário;

• 4 – Implemente proteção multicamada contra fraude eletrônica. Considere a utilização de uma solução de proteção contra fraude em aplicativos Mobile Application Fraud Protection Suite, que incrementa a autoproteção e a autenticação do seu aplicativo, bem como a detecção de aplicativos falsos;

(*) Edgar Felipe Duarte é Analista de Malware na Easy Solutions