Novo malware bancário para Android representa alto risco aos usuários de mobile banking
13 de julho de 2022A Check Point Research relata um novo malware bancário para Android, o MaliBot; além disso, aponta uma nova variante do Emotet e que segue como malware mais prevalente globalmente (14,12%) e na lista do Brasil com o elevado índice de 42,19%
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, publicou o Índice Global de Ameaças referente ao mês de junho de 2022.
Os pesquisadores relataram o surgimento de um novo malware móvel bancário para Android, chamado MaliBot, após a remoção do FluBot no final de maio.
Embora recém-descoberto, o MaliBot, um malware bancário, já alcançou o terceiro lugar na lista de malwares móveis mais prevalentes.
Ele se disfarça como aplicativos de mineração de criptomoedas com nomes diferentes e tem como alvo usuários de mobile banking para roubar informações financeiras.
Semelhante ao FluBot, o MaliBot usa mensagens SMS de phishing (smishing) para atrair as vítimas, a fim de que cliquem em um link malicioso que as redirecionarão para efetuar o download de um aplicativo falso contendo o malware.
Também em junho, o malware Emotet continuou aparecendo na posição de mais prevalente no mundo.
Os pesquisadores relataram ainda sobre uma nova variante do Emotet, que surgiu no mês passado, cujos recursos visam o roubo de cartão de crédito e tem como alvo os usuários do navegador Chrome.
O Snake Keylogger vem em terceiro lugar após um aumento em sua atividade desde que apareceu em oitavo lugar em maio.
A principal funcionalidade do Snake é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os atacantes.
Enquanto em maio a CPR testemunhou o Snake Keylogger sendo entregue via arquivos PDF, recentemente este malware foi distribuído por e-mails contendo anexos do Word marcados como solicitações de cotações.
“Embora seja sempre bom ver ações bem-sucedidas de aplicação da lei para derrubar grupos de crimes cibernéticos ou malwares, como o FluBot, infelizmente não demorou muito para que um novo malware móvel tomasse seu lugar”, afirma Maya Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
“Os cibercriminosos estão bem cientes do papel central que os dispositivos móveis desempenham na vida de muitas pessoas e estão sempre adaptando e melhorando suas táticas para corresponder a isso. O cenário de ameaças evolui rapidamente e o malware móvel é um perigo significativo para a segurança pessoal e corporativa. Nunca foi tão importante ter uma solução robusta de prevenção de ameaças móveis”, alerta Maya.
Principais famílias de malware
* As setas referem-se à mudança na classificação em comparação com o mês anterior.
Em junho, o Emotet prosseguiu como o malware mais popular, afetando 14,12% das organizações em todo o mundo, seguido pelo Formbook e pelo Snake Keylogger, cada um impactando 4,4% das organizações globalmente.
↔ Emotet – É um trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan bancário e recentemente foi usado como distribuidor de outros malwares ou campanhas maliciosas.
Ele usa vários métodos para manter técnicas de persistência e evasão para evitar a detecção.
Além disso, ele pode se espalhar por e-mails de spam de phishing contendo anexos ou links maliciosos.
↔ Formbook — É um InfoStealer direcionado ao sistema operacional Windows e foi detectado pela primeira vez em 2016.
É comercializado como Malware-as-a-Service (MaaS) em fóruns de hackers ilegais por suas fortes técnicas de evasão e preço relativamente baixo.
O FormBook coleta credenciais de vários navegadores da Web, captura telas, monitora e registra digitações de teclas e pode baixar e executar arquivos de acordo com as ordens de seu C&C (Comando & Controle).
↑ Snake Keylogger – É um keylogger .NET modular e que rouba credenciais, descoberto pela primeira vez no final de novembro de 2020.
Sua função principal é registrar as teclas digitadas pelos usuários e transmitir os dados coletados para os atacantes.
As infecções por Snake representam uma grande ameaça à privacidade e segurança online dos usuários, pois o malware pode roubar praticamente todos os tipos de informações confidenciais e é um keylogger particularmente evasivo e persistente.
A lista completa das dez principais famílias de malware em junho pode ser encontrada no blog da Check Point Software.
Principais setores atacados globalmente e no Brasil
Quanto aos setores, em junho, Educação e Pesquisa prossegue sendo o setor mais atacado globalmente, seguido por Governo/Militar e Saúde.
1.Educação/Pesquisa
2.Governo/Militar
3.Saúde
No Brasil, os três setores no ranking nacional mais visados em junho foram:
1.Governo/Militar
2.Varejo/Atacado
3.Comunicações
O setor de Educação/Pesquisa ficou em sexto lugar no ranking nacional pelo segundo mês consecutivo.
Principais vulnerabilidades exploradas
Em junho, a equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a vulnerabilidade mais explorada, impactando 43% das organizações no mundo, seguida de perto pela “Web Server Exposed Git Repository Information Disclosure”, cujo impacto global foi de 42,3%.
A “Web Servers Malicious URL Directory Traversal” ficou em terceiro lugar na lista de vulnerabilidades mais exploradas, com um impacto global de 42,1%.
↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Existe uma vulnerabilidade de execução remota de código no Apache Log4j.
A exploração bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute código arbitrário no sistema afetado.
↑ Web Server Exposed Git Repository Information Disclosure – a vulnerabilidade de divulgação de informações foi relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade pode permitir a divulgação não intencional de informações da conta.
↓ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Existe uma vulnerabilidade de passagem de diretório em diferentes servidores da web.
A vulnerabilidade ocorre devido a um erro de validação de entrada em um servidor Web que não limpa adequadamente a URI (Uniform Resource Identifier) para os padrões de passagem de diretório.
A exploração bem-sucedida permite que atacantes remotos não autenticados divulguem ou acessem arquivos arbitrários no servidor vulnerável.
Principais malwares móveis
Em junho, o AlienBot é o malware móvel mais prevalente, seguido por Anubis e o novo malware bancário MaliBot.
1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite a um atacante remoto, como primeira etapa, injetar código malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às contas das vítimas e, eventualmente, controla completamente o dispositivo.
2. Anubis é um cavalo de Troia bancário projetado para smartphones Android. Desde que foi detectado inicialmente, ele ganhou funções adicionais, incluindo a funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos diferentes disponíveis na Google Store.
3. MaliBot é um malware bancário do Android que foi detectado visando usuários na Espanha e na Itália. Este malware se disfarça como aplicativos de mineração de criptomoedas com nomes diferentes e se concentra no roubo de informações financeiras, carteiras de criptomoedas e mais dados pessoais.
Os principais malwares de junho no Brasil
O principal malware no Brasil em junho continuou sendo o Emotet, com um índice de impacto elevado de 42,19% (este malware liderou a lista nacional de maio com índice de 23,55%). A novidade do Emotet, como mencionado no início deste texto, está por conta de uma nova variante identificada em junho que tem recursos de roubo de cartão de crédito e seu alvo são os usuários do navegador Chrome.
Já o Chaes manteve-se em segundo lugar (com o mesmo índice de impacto de maio de 6,88%) no ranking nacional; este malware ataca plataformas de e-commerce principalmente na América Latina e foi o responsável pela campanha que visava o roubo de informações de consumidores do Mercado Livre e Mercado Pago, entre outros.
O Índice de impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que fornece inteligência de ameaças em tempo real derivada de centenas de milhões de sensores em todo o mundo, em redes, endpoints e dispositivos móveis.
A inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa exclusivos da divisão Check Point Research (CPR).
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.
A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.
O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado. O Infinity compreende três pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; e Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor. A Check Point protege mais de 100.000 organizações de todos os portes.
Alerta Phishing: Segundo o FBI, o maior perigo para os varejos em 2022
