Zanubis: a evolução sorrateira do Trojan bancário e as ameaças às criptomoedas

Zanubis: a evolução sorrateira do Trojan bancário e as ameaças às criptomoedas

Os especialistas da Kaspersky analisaram uma campanha recente do Zanubis, um Trojan bancário que se distingue pela sua capacidade de se fazer passar por aplicações legítimas. A investigação também lança luz sobre o recente criptor/carregador AsymCrypt e o malware Lumma, que está a evoluir, sublinhando a necessidade crescente de uma segurança digital melhorada.

O Zanubis, um trojan bancário para Android, apareceu em agosto de 2022, visando utilizadores financeiros e de criptomoedas no Peru. Fazendo-se passar por aplicações Android legítimas, engana os utilizadores para que concedam permissões de acessibilidade, perdendo assim o controlo. Em abril de 2023, o Zanubis evoluiu, fazendo-se passar pela aplicação oficial da organização governamental peruana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), demonstrando maior sofisticação.

O Zanubis é ofuscado com a ajuda do Obfuscapk, um popular ofuscador para ficheiros APK do Android. Assim que obtém permissão para aceder ao dispositivo, engana a vítima carregando um site SUNAT real usando o WebView, fazendo-o parecer legítimo.

Para comunicar com o seu servidor de controlo, utiliza WebSockets e uma biblioteca chamada Socket.IO. Isto permite-lhe adaptar-se e manter-se ligado mesmo que haja problemas. Ao contrário de outro malware, o Zanubis não tem uma lista fixa de aplicações alvo. Em vez disso, pode ser programado remotamente para roubar dados quando determinadas aplicações estão a ser executadas. Este malware até cria uma segunda ligação, o que pode dar aos malfeitores controlo total sobre o dispositivo. E a pior parte é que pode desativar o dispositivo fingindo ser uma atualização do Android.

Outra descoberta recente feita pela Kaspersky é o AsymCrypt cryptor/loader, que visa carteiras de criptomoedas e está a ser vendido em fóruns clandestinos. Como a investigação demonstrou, trata-se de uma versão evoluída do DoubleFinger loader, atuando como uma "fachada" para um serviço de rede TOR. Os compradores personalizam os métodos de injeção, os processos alvo, a persistência de arranque e os tipos de stub para DLLs maliciosas, escondendo o payload numa bolha encriptada dentro de uma imagem .png carregada para um site de alojamento de imagens. A execução desencripta a imagem, ativando o payload na memória.

O rastreio das ciberameaças pela Kaspersky também levou ao Lumma stealer, uma linhagem de malware em evolução. Originalmente conhecido como Arkei, o Lumma rebatizado retém 46% dos seus atributos anteriores. Disfarçado de conversor de .docx para .pdf, a sua distribuição enganosa desencadeia o payload malicioso quando os ficheiros carregados regressam com uma extensão dupla .pdf.exe. Ao longo do tempo, a principal funcionalidade de todas as variantes manteve-se a mesma: roubar ficheiros em cache, ficheiros de configuração e registos de carteiras criptográficas. O malware faz tudo isto atuando como um plugin de browser, mas também suporta a aplicação Binance independente. A evolução do Lumma inclui a aquisição de listas de processos do sistema, a alteração de URLs de comunicação e o avanço das técnicas de encriptação.

“Os cibercriminosos são incansáveis na sua busca por ganhos monetários, aventurando-se no mundo das criptomoedas e até fazendo-se passar por instituições governamentais para atingir os seus objetivos. O cenário em constante evolução do malware, exemplificado pelo multifacetado Lumma stealer e as ambições do Zanubis como um Trojan bancário de pleno direito, sublinha a natureza dinâmica destas ameaças. A adaptação a esta constante transformação do código malicioso e das táticas dos cibercriminosos constitui um desafio permanente para as equipas de defesa. Para se protegerem contra estes perigos em evolução, as organizações devem manter-se vigilantes e bem informadas. Os relatórios de inteligência desempenham um papel fundamental para nos mantermos a par das mais recentes ferramentas maliciosas e técnicas de ataque, permitindo-nos estar um passo à frente na batalha contínua pela segurança digital,” refere Tatyana Shishkova, investigadora de segurança do grupo GReAT.

Para ler o relatório completo, consulte a Securelist.com

Para evitar ameaças com motivação financeira, a Kaspersky recomenda:

Configure cópias de segurança offline que os intrusos não possam adulterar. Certifique-se de que pode aceder-lhes rapidamente em caso de emergência, quando necessário.

Instale proteção contra ransomware para todos os endpoints. Existe uma ferramenta gratuita, o Kaspersky Anti-Ransomware Tool for Business que protege computadores e servidores contra ransomware e outros tipos de malware, evita exploits e é compatível com soluções de segurança pré-instaladas.

Para minimizar a probabilidade de lançamento de cripto-miners, utilize uma solução de segurança dedicada, como o Kaspersky Endpoint Security for Business, com controlo de aplicações e da Web; a análise de comportamento ajuda a detetar rapidamente atividades maliciosas, enquanto o gestor de vulnerabilidades e patches protege contra cripto-miners que exploram vulnerabilidades.