Trojan bancário Swearing continua ativo apesar da detenção dos seus criadores

284
0
Share:

A Check Point informa que o Trojan bancário Swearing continua a afetar utilizadores na China apesar da detenção dos seus criadores.

O nome do malware tem a sua origem nos insultos em chinês que foram encontrados dentro do seu código. Infetou um grande número de utilizadores do Android na China, roubando as suas credenciais bancárias e outras informações sensíveis.

À semelhança de outros Trojans bancários descobertos anteriormente, o Swearing pode roubar dados pessoais e eludir a segurança da autenticação por dois fatores (2FA). Além disso, obriga o utilizador a introduzir a sua password e é capaz de substituir a aplicação de mensagens original do Android por uma fraudulenta, para intercetar os SMS que recebe e fazer com que este modo de identificação seja útil.

Este malware dissemina-se graças a dois métodos de infeção:

  • “Droppers”, que descarregam dados maliciosos assim que o utilizador instala no dispositivo uma aplicação infetada.
  • Estações de telefonia móvel (BTS) falsas que enviam mensagens SMS fazendo-se passar pelos operadores chineses de telecomunicações China Mobile e China Unicom.

Há outros tipos de mensagens fraudulentas que o Trojan Swearing envia:

Documentos relacionados com o trabalho: Um falso SMS, supostamente assinado por um responsável, pede ao utilizador que descarregue e abra um documento importante, e que responda aos comentários ali incluídos.

Fotos ou vídeos: Uma mensagem que inclui uma imagem de um cônjuge infiel.

Notificação de atualização de uma aplicação: Uma mensagem de um suposto operador de telecomunicações ou de um banco que pede à vítima que instale uma atualização importante.

A mensagem maliciosa convence os utilizadores a clicarem num URL e depois instala o malware. Também foram vistas nestes ataques mensagens falsas de pessoas com as quais a vítima pode estar emocionalmente relacionada.

Uma vez instalada a aplicação infetada, e para evitar suspeitas, solicita permissão ao utilizador para desbloquear o ecrã. Depois da instalação, o malware espalha-se enviando automaticamente smishing (phishing através de SMS) aos contactos da vítima.

O Trojan Swearing não se comunica com os servidores de comando e controlo (C&C). Em vez disso, manda os dados para o cibercriminoso através de SMS ou de email. Isto permite ao malware ocultar as suas comunicações e impede a ação das ferramentas de segurança que tentem rastrear atividades maliciosas.

Embora os responsáveis pela criação deste Trojan já tenham sido presos, os investigadores da Check Point continuam a detetar ataques realizados pelo Swearing, sendo por isso possível que os cibercriminosos detidos façam parte de uma operação de distribuição de malware de maiores dimensões.

Muitos exemplos de malware móvel descobertos anteriormente no mercado chinês, como o HummingBad, foram considerados pioneiros e as suas formas de infeção popularizaram-se mais tarde em todo o mundo. A distribuição do Trojan Swearing conseguiu a proeza de utilizar falsas BTS e smishing automático. É de esperar que os criadores de malware ocidentais adotem rapidamente estas técnicas para atacar as suas vítimas.

Para se proteger, a Check Point recomenda a implementação de soluções de prevenção de ameaças para os dispositivos móveis.

Share:
Patricia Fonseca

Dê a sua opinião