Famílias de Malware para Android Visam Apps Bancárias e de Cripto com Taxas de Detecção Quase Nulas: Zimperium

Mensagem de Notícias da Gate, 25 de Abril — A empresa de cibersegurança Zimperium identificou quatro famílias ativas de malware — RecruitRat, SaferRat, Astrinox e Massiv — direcionadas a mais de 800 aplicações nos sectores bancário, de criptomoedas e de redes sociais. As campanhas recorrem a técnicas avançadas de anti-análise e a adulteração estrutural de APK para manter taxas de deteção quase nulas contra mecanismos de segurança tradicionais baseados em assinaturas.

Os atacantes usam sítios Web de phishing, ofertas de emprego fraudulentas, falsas atualizações de software, burlas por mensagens de texto e iscos promocionais para induzir os utilizadores a instalarem aplicações Android maliciosas. Uma vez instalados, os malwares solicitam permissões de Acessibilidade para ocultar ícones da aplicação, bloquear tentativas de desinstalação, roubar PINs e palavras-passe através de ecrãs de bloqueio falsos, intercetar códigos de autenticação de utilização única, gravar ecrãs do dispositivo em tempo real e sobrepor páginas de início de sessão falsificadas em aplicações legítimas de banca ou de cripto.

Os ataques por sobreposição constituem o núcleo da estratégia de obtenção de credenciais. O malware monitoriza o primeiro plano através dos Serviços de Acessibilidade e deteta quando uma vítima inicia uma aplicação financeira; em seguida, busca uma carga HTML maliciosa e sobrepõe-a na interface legítima para criar uma fachada enganadora convincente.

As campanhas utilizam comunicações HTTPS e WebSocket para misturar tráfego malicioso com a atividade normal da aplicação, com algumas variantes a empregar camadas adicionais de encriptação para contornar ainda mais a deteção.