Converge Comunicações -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

O Trojan Marcher não está diminuindo: ele está ficando mais esperto

Postado em: 22/09/2017, às 18:01 por Edgar Felipe Duarte Porras

O Trojan para Android chamado Marcher apareceu pela primeira vez em 2013, mas não parece estar indo embora tão cedo. Ele começou como um aplicativo usado para roubar informações dos usuários do Google Play. No entanto, seus criadores têm se dedicado a melhorar os métodos utilizados para enganar os usuários e fazê-los fornecer informações financeiras privadas.

O Marcher apareceu em várias iterações e, de todos os trojans para Android, ele é um dos mais potentes, infectando uma enorme quantidade de dispositivos ao longo do tempo. Entre o seu arsenal de ferramentas nefastas estão dois fatores que o tornam um ataque tão eficiente. Primeiro, ele pode escapar da autenticação com dois fatores, interceptando as mensagens SMS enviadas para o telefone infectado.

Em segundo lugar, ele pode sobrepor com conteúdo falso a outros aplicativos, fazendo com que os usuários forneçam inadvertidamente suas informações confidenciais. Isso pode ser feito até no Android 6, que foi supostamente projetado para estar protegido desse tipo comum de sobreposição maliciosa. O Trojan é normalmente distribuído através de phishing de SMS/MMS e de propagandas em sites pornográficos.

Aplicativo falso com o Trojan Marcher

As campanhas do Trojan Marcher são conhecidas por usar a engenharia social para enganar os usuários e infectar seus dispositivos. Seu truque mais comum é falsificar aplicativos bancários, jogos não lançados e atualizações de segurança ou flash. Cada ataque afeta uma média de 50 instituições em todo o mundo.

Análise

Embora todos os Trojans Marcher sejam semelhantes, cada versão geralmente contém algumas alterações no código geral. Por exemplo, coisas como ofuscação, armazenamento de informações confidenciais e técnicas de proteção são sempre atualizadas, enquanto as principais funcionalidades permanecem as mesmas em todas as versões. De todos os módulos que ajudam os fraudadores a criar ataques bem-sucedidos, os mais importantes são a interceptação de SMS; execução de controle remoto; envio de comandos USSD; envio de SMS; bloqueio do dispositivo; habilita/desabilita sons; implementação de SOCKS 5; sobreposição de telas

Versões
Acompanhando a evolução do Trojan desde 2016, é fácil ver as melhorias feitas pelos seus criadores. Abaixo, descrevemos brevemente as principais mudanças detectadas:

*Abril de 2016: Esta versão continha todos os aplicativos afetados, bem como o conteúdo fraudulento que os sobrepõe, codificados em seu binário. Uma característica importante desta versão foi o uso de um esquema muito básico para infectar aplicativos afetados com o conteúdo malicioso. A simplicidade do esquema exigia que o invasor especificasse uma URL diferente para cada aplicativo direcionado, tornando esta solução menos segura para os atacantes, pois era mais fácil filtrar o tráfego malicioso e extrair informações sobre todos os sites de phishing associados a um determinado ataque. Além disso, demandava muito tempo do atacante.

*Fevereiro de 2017: Esta iteração do Trojan Marcher incluiu uma atualização importante: os criadores realmente se concentraram em facilitar a vida dos fraudadores e reconfiguraram o ataque. Para isso, eles criaram uma API que enviava o conteúdo malicioso para um telefone infectado se o parâmetro correto fosse fornecido (cada aplicativo afetado possuía seu próprio código de identificação específico). Além disso, eles começaram a usar o protocolo SSL para criptografar as comunicações entre o bot e o servidor, permitindo ocultar o tráfego malicioso.

*Junho de 2017: A campanha Marcher mais recente veio com uma enorme atualização de segurança para o Trojan. Os fraudadores queriam esconder dos analistas o máximo de informações possível, então eles implementaram um string de ofuscação muito simples e um algoritmo de criptografia AES para armazenar a lista de aplicativos afetados e todo o tráfego associado (que já estava protegido pelo protocolo SSL). Além disso, eles incluíram algumas rotinas antivirtualização e antidepuração para evitar sandboxes.

O que podemos aprender com a evolução do Trojan Marcher? Da mesma forma que estamos sempre buscando melhorar a nossa proteção contra a fraude, os fraudadores estão sempre procurando novas maneiras de se proteger e criar ataques bem-sucedidos. Se um ataque se revelar ineficaz ou malsucedido, não podemos achar que os atacantes irão simplesmente desistir. Em vez disso, eles tentarão novamente com uma estratégia mais forte. Sem uma estratégia proativa de proteção que considere isso, as empresas deixam a porta aberta para ataques cada vez mais sofisticados.

Como proteger seus usuários e sua organização?

  • Adote soluções que atuem proativamente para encontrar aplicativos fraudulentos que falsificam a sua marca em lojas oficiais e não oficiais e complementem outros aspectos de sua estratégia de segurança;
  • Integre no seu aplicativo bibliotecas SDK que permitam avaliações baseadas no risco do dispositivo e detectem comportamentos maliciosos, como ataques de sobreposição;
  • Atue com um fornecedor que ofereça monitoramento em tempo real 24/7/365 de ameaças externas e seja capaz de retirar do ar servidores C&C, como os usados ??pelo Trojan Marcher;
  • Informe os seus usuários sobre os riscos que podem afetar dispositivos móveis e incentive-os a não rootear seus dispositivos, o que os deixa vulneráveis a ataques como os Trojans.

Edgar Felipe Duarte Porras, analista de Malware da Easy Solutions.

Tags: , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top