MaliBot: o vírus que sequestra contas no CaixaBank e Santander

Uma nova variedade de Android malwares visando clientes de carteiras bancárias online e criptomoedas foram detectadas na Espanha e Itália, apenas algumas semanas depois que o FluBot foi derrubado por lei. De fato, sua descoberta ocorreu enquanto esse sofisticado malware Android estava sendo investigado com a capacidade de assumir o controle remoto total do dispositivo, que inicialmente era destinado a entidades bancárias espanholas, mas depois ampliou sua visão para muitos outros países até que finalmente foi recentemente desmontado. Se você tem uma conta Santander ou CaixaBank, cuidado com esse novo vírus Android.

O Trojan que rouba informações, codinome MaliBotName de acordo com a F5 Labs, possui um grande número de recursos. Pode variar de roubar credenciais e cookies a abusar do Serviço de Acessibilidade do Android para monitorar a tela dos dispositivos de suas vítimas e ignorar os códigos de autenticação multifator (MFA) que dão maior proteção aos logins. Essas são algumas das possibilidades de um vírus que pode causar muitos danos às suas vítimas.

MaliBot: o vírus que sequestra contas no CaixaBank e Santander

O que é MaliBot e o que se sabe sobre ele?

O que se sabe sobre o MaliBot é que ele está disfarçado de criptomoeda aplicações de mineração , como The CryptoApp ou Mining X, e distribuídos através de sites fraudulentos que foram projetados precisamente para atrair visitantes em potencial para baixá-los e que o Trojan pode atuar. Por outro lado, também utiliza smishing para espalhar o malware acessando os contatos do smartphone infectado e enviando mensagens SMS contendo links para o malware. Uma vez baixado, o MaliBot entra em contato com o servidor C2 para registrar o dispositivo infectado e pede à vítima que conceda permissões de acesso.

código malibot

"O Comando e Controle MaliBot (C2) está na Rússia e parece usar os mesmos servidores que foram usados ​​para distribuir o malware Sality”, de acordo com o pesquisador do F5 Labs, Dor Nizar. “É uma reformulação fortemente modificada do malware SOVA, com diferentes funcionalidades, alvos, servidores C2, domínios e esquemas de empacotamento.” Por sua vez, o vírus Sality estaria circulando livremente desde 2003 e melhoraria com o tempo, adicionando novos recursos.

DORME (“Coruja” em russo), que foi detectado pela primeira vez em agosto de 2021, é notável por sua capacidade de realizar ataques de sobreposição que funcionam exibindo uma página fraudulenta usando o WebView com um link fornecido pelo servidor C2 se a vítima abrir um aplicativo bancário incluído na sua lista de alvos ativos. Alguns dos bancos alvo do MaliBot que usam esta abordagem incluem Santander, CaixaBank, UniCredit, e CartaBCC.

Suas funções, modo de ação e para que serve

O Android Serviço de Acessibilidade é um serviço em segundo plano executado em dispositivos Android para ajudar usuários com deficiências, mas você também pode usá-lo se estiver familiarizado com qualquer um de seus recursos ou capacidades. Há muito tempo é explorado por spyware e cavalos de Tróia para capturar o conteúdo do dispositivo e interceptar credenciais inseridas por usuários desavisados ​​em outros aplicativos.

acessibilidade android

Além de ser capaz de contornar as senhas e cookies da conta do Google de suas vítimas, o malware foi projetado para quebrar códigos 2FA do aplicativo Google Authenticator, bem como vazar informações confidenciais, como saldos totais e frases iniciais dos aplicativos Binance e Trust Wallet . A Malibot é capaz de armar seu acesso à API de acessibilidade para derrotar os métodos de autenticação de dois fatores (2FA) do Google, mesmo ao tentar fazer login em contas usando credenciais roubadas de um novo dispositivo desconhecido.

Todos esses recursos de malware podem ser usados ​​para muito mais do que roubo de credenciais e criptomoedas . Na verdade, qualquer aplicativo que faça uso do WebView é suscetível a roubar suas credenciais e cookies, mesmo que inicialmente seus objetivos sejam específicos. Portanto, tenha cuidado, ele pode atacá-lo sem você perceber!