Trojan de acesso remoto Android equipado para coletar credenciais
A equipe de pesquisa de ameaças do SonicWall Capture Labs compartilha regularmente informações sobre malware direcionado a dispositivos Android. Já encontramos exemplos de RAT semelhantes antes, mas este inclui comandos extras e ataques de phishing projetados para coletar credenciais.
Visão geral
Este malware usa ícones famosos de aplicativos Android para enganar os usuários e induzir as vítimas a instalar o aplicativo malicioso em seus dispositivos. Este aplicativo malicioso usa qualquer um dos seguintes ícones:
Figura 1: O ícone do aplicativo usado pelo malware.
Figura 2: aplicativo malicioso instalado
Ciclo de infecção
Depois que o aplicativo malicioso é instalado no dispositivo da vítima, ele solicita que a vítima habilite duas permissões:
- Serviço de acessibilidade
- Permissão de administrador do dispositivo
Ao solicitar essas permissões, o aplicativo malicioso visa obter controle sobre o dispositivo da vítima, potencialmente permitindo que ela execute ações prejudiciais ou roube informações confidenciais sem o conhecimento ou consentimento do usuário.
Figura 3: Solicitação de permissão de acessibilidade
Figura 4: Ativação do administrador do dispositivo
O aplicativo malicioso estabelece uma conexão com o servidor de comando e controle para receber instruções e executar tarefas específicas de acordo.
Aqui estão alguns dos comandos recebidos do servidor de Comando e Controle (C&C) do malware:
| Comando | Descrição |
| dmpsms | Mensagens lidas |
| chamada dmp | Ler registros de chamadas |
| dmpcon | Lista de contatos do dispositivo |
| obter pacotes | Nome do pacote instalado |
| parede de mudança | Alterar papel de parede do dispositivo |
| texto de torrada | Dados de notificação |
| web operacional | Abra URLs no navegador da web para phishing |
| vibradodev | Dispositivo vibratório |
| enviado | Enviar mensagens |
| fantasma | Ligue a lanterna da câmera |
| cara | Desligue a lanterna da câmera |
O arquivo de recursos contém a URL do servidor C&C, mas não estava ativo durante a análise.
Figura 5: Servidor C&C
Aqui você o vê recebendo comandos do servidor C&C para acessar uma URL específica no navegador para coletar credenciais.
Figura 6: Navegador para abrir URL específico
Alguns arquivos HTML maliciosos relacionados a aplicativos Android conhecidos estão na pasta ‘asset\website’, conforme mostrado na figura abaixo:
Figura 7: páginas HTML fraudulentas
Figura 8: Instâncias de páginas HTML fraudulentas -1.
Figura 9: Instâncias de páginas HTML fraudulentas -2.
Nestes arquivos HTML, o invasor solicita que a vítima insira seu ID de usuário e senha nos campos de entrada.
Figura 10: Recupera entrada do usuário
Depois de obter credenciais usando JavaScript, ele coleta e compartilha todas as informações do usuário com a função ‘showTt’.
Figura 11: Coletar credenciais do usuário
Ele recupera todos os números de telefone armazenados no dispositivo da vítima.
Figura 12: Buscando lista de contatos
Ele tenta alterar o papel de parede do dispositivo para um recurso específico se o parâmetro ‘str’ corresponder ao valor descriptografado, como 0, 1 ou 2.
Figura 13: Alterando o papel de parede do dispositivo
Ele recupera informações sobre aplicativos instalados no dispositivo da vítima.
Figura 14: Coletando informações do pacote instalado
O trecho de código abaixo utiliza o “CameraManager” para ligar ou desligar a lanterna da câmera do dispositivo da vítima.
Figura 15: Lanterna da câmera ligada/desligada
Ele envia uma mensagem para um número com base na entrada recebida do servidor C&C.
Figura 16: Enviando uma mensagem do dispositivo da vítima
Também notamos que certos arquivos maliciosos foram recentemente enviados para plataformas de compartilhamento de malware como o VirusTotal.
Figura 17: Última amostra encontrada em VT
Proteções SonicWall
O SonicWall Capture Labs oferece proteção contra essa ameaça por meio do SonicWall Capture ATP com RTDMI.
Indicadores de Compromisso (IOCs)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