Desde março deste ano, a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – está monitorando uma nova onda de ataques que têm como alvo o Japão, Coreia, China,Taiwan e Hong Kong. Os ataques se proliferam por cache de DNS (Domain Name System) que são contaminados, possivelmente por meio de técnicas de violação para distribuir e instalar aplicativos Android maliciosos. A Trend Micro detectou estes ataques como ANDROIDOS_XLOADER.HRX.
Eles são distribuídos a partir de domínios DNS contaminados que enviam uma notificação para o dispositivo de uma vítima desconhecida. O malware se apresenta sob disfarce de aplicativos Facebook ou Chrome legítimos (print abaixo) e podem roubar dados pessoais e financeiros além de instalar aplicativos adicionais. O XLoader também pode sequestrar o dispositivo infectado e enviar mensagens SMS’s, por exemplo.
Cadeia de infecção
A cadeia de ataque envolve desviar o tráfego da Internet para domínios especificados pelo invasor ao comprometer as configurações de DNS do roteador. Um alerta falso irá notificar e incitar o usuário a acessar o domínio malicioso e baixar o XLoader.
Criando um servidor da Web para o Phishing
O XLoader cria um servidor provisório da Web para receber os eventos de transmissão ou também pode criar um servidor HTTP simples no dispositivo infectado para enganar as vítimas. Ele mostra uma página de phishing na web sempre que o dispositivo afetado recebe um evento de transmissão (ou seja, se um novo pacote estiver instalado ou se a tela do dispositivo estiver ativada) e usa isso para roubar dados pessoais, como os digitados para aplicativos bancários. A página de phishing é traduzida em coreano, japonês, chinês e inglês, que são codificados no payload. Ele será exibido de maneira diferente para os usuários, dependendo do idioma definido no dispositivo.
XLoader: Spyware e Trojan bancário
O XLoader também pode coletar informações relacionadas ao uso de aplicativos instalados no dispositivo. Seus recursos de roubo de dados incluem a coleta de SMS e a gravação de chamadas telefônicas. O XLoader também pode sequestrar contas vinculadas a aplicativos financeiros ou relacionados a jogos instalados no aparelho afetado.
Outro possível cenário a ser explorado envolve a substituição de aplicativos legítimos por maliciosos. Durante esse estudo, a Trend Micro utilizou de engenharia reversa e descobriu que o XLoader parece ter como alvo os bancos e empresas de desenvolvimento de jogos da Coreia do Sul.
Formas de mitigação
A Trend Micro compartilha algumas boas práticas que podem ajudar a diminuir os ataques deste tipo em roteadores:
– Empregue credenciais mais fortes, por exemplo, para torná-las menos suscetíveis a acessos não autorizados;
– Além da ativação do firewall, atualize e corrija regularmente o software e o firmware do roteador;
– Verifique as configurações de DNS do roteador, caso tenham sido modificadas. Até mesmo ameaças como envenenamento de cache DNS empregam engenharia social. Portanto, os usuários também devem ser mais prudentes em relação a mensagens suspeitas ou desconhecidas que tenham indícios de malware.
Ainda, de acordo com a Trend Micro, o Google Play Protect captura proativamente aplicativos desse tipo. Nenhum aplicativo dessa natureza foi encontrado no Google Play.
Soluções Trend Micro
O Trend Micro™ Mobile Security para Android™ (disponível na Google Play) bloqueia aplicativos maliciosos. Eles podem explorar esse tipo de vulnerabilidade. Usuários finais e enterprises podem se beneficiar com soluções multicamadas que protegem a privacidade de dados e o previnem de ransomwate, sites fraudulentos e roubo de identidade.
Para as organizações, a Trend Micro™ Mobile Security para Enterprise fornece gerenciamento de compliance, aplicações device e gerenciamento de aplicativos, proteção de dados e provisionamento de configuração.
O Serviço Móvel de Reputação de Aplicativos (MARS) da Trend Micro cobre as ameaças do Android usando as principais tecnologias de sandbox e machine learning. Ele pode proteger os usuários contra malware, explorações conhecidas e de zero day, vazamentos de privacidade e vulnerabilidade de aplicativos.