O grupo de criminosos cibernéticos por trás do malware bancário, conhecido como Casbaneiro, também foram identificados como os responsáveis por um novo trojan para Android chamado BrasDex, que visa brasileiros como parte de uma campanha de ataques multiplataformas.
Segundo relatório publicado por ThreatFabric, uma empresa de cibersegurança holandesa, o BrasDex apresenta um sistema complexo de keylogging projetado para utilizar vulnerabilidades dos Serviços de Acessibilidade e extrair credenciais especificamente de um conjunto de aplicativos direcionados ao Brasil, assim como um mecanismo de Sistema de Transferência Automatizada (ATS) altamente capaz.
A infraestrutura de comando e controle (C2) usada em conjunto com o BrasDex também está sendo usada para controlar o Casbaneiro, conhecido por atacar bancos e serviços de criptomoedas no Brasil e no México.
Estima-se que a campanha híbrida de malware para Android e Windows tenha resultado em milhares de infecções até o momento.
O Brasdex tem como foco 10 instituições no Brasil (PicPay, Nubank, Original, Inter, Binance, Banco do Brasil, Itaú, Bradesco, Caixa e Santander) e também segue uma nova tendência que envolve o uso das APIs de acessibilidade do Android para registrar as teclas digitadas pelas vítimas, afastando-se do método tradicional de ataques de sobreposição para roubar credenciais e outros dados pessoais.
Ele foi projetado para capturar informações do saldo da conta, usando-as posteriormente para assumir o controle de dispositivos infectados e iniciar transações fraudulentas de maneira programática.
Esta não é a primeira vez que o PIX é alvo de grupos de cibercriminosos, em setembro de 2021, a Check Point publicou uma análise de duas famílias de malware para Android chamadas PixStealer e MalRhino, que induziam os usuários a transferir todos os saldos de suas contas.
A investigação da ThreatFabric sobre a BrasDex também permitiu acesso ao painel C2 usado pelos operadores criminosos para rastrear os dispositivos infectados e recuperar logs de dados extraídos dos telefones Android.
O painel C2, também está sendo utilizado para monitorar uma outra campanha de malware que compromete máquinas Windows para implementar o Casbaneiro, um trojan financeiro baseado em Delphi.
Essa cadeia de ataque utiliza iscas de phishing utilizando o serviço SEDEX dos Correios para induzir os destinatários a executar o malware após um processo de várias etapas.
VEJA TAMBÉM: Como escolher um Next Generation Firewall (NGFW)?
Os recursos do Casbaneiro executam um backdoor que permite ao invasor assumir o controle de contas bancárias, fazer capturas de tela, executar keylogging, sequestrar dados da área de transferência e até mesmo funcionar como um malware clipper para sequestrar transações criptográficas.
Por fim, a ThreatFabric destaca:
Sendo famílias de malware independentes e completas, BrasDex e Casbaneiro formam um par muito perigoso, permitindo que o agente por trás deles atinja usuários de Android e Windows em larga escala.
O caso BrasDex mostra a necessidade de mecanismos de detecção e prevenção de fraudes nos dispositivos dos clientes: pagamentos fraudulentos feitos automaticamente com a ajuda de mecanismos ATS parecem legítimos para back-ends bancários e mecanismos de pontuação de fraudes, pois são feitos por meio do mesmo dispositivo que geralmente é utilizado pelos clientes.
Fontes: Olhar Digital, CanalTech e The Hacker News
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk
