Trojan distribuído por meio de phishing desenvolve resistência

Trojan Marcher distribuído por SMS/MMS e propagandas em sites pornográficos, estão ficando mais espertos

Infiltrado como um aplicativo que vem sendo usado para roubar informações dos clientes do Google Play, o malware foi percebido pela primeira vez em 2013 e continua ativo.

Com o passar do tempo, seus criadores têm se dedicado a melhorar os métodos de abordagem para enganar os usuários e fazê-los fornecer informações financeiras privadas. Atualmente, cada ataque afeta em  média,  50 instituições em todo o mundo.

Edgar Felipe Duarte Porras | Analista de Malware da Easy Solutions

“Ele é tão efetivo, pois consegue escapar da autenticação de duas formas. Uma delas, é a interceptação de mensagens SMS enviadas para o telefone infectado. A outra,  sobrepondo um  conteúdo falso a outros aplicativos, fazendo com que os usuários forneçam inadvertidamente suas informações confidenciais”, explica Edgar Felipe Duarte Porras, analista de Malware da Easy Solutions. Por isso que, a seu ver, de todos  os trojans para Android, ele é um dos mais potentes.

Segundo o analista,  as campanhas do Trojan Marcher são conhecidas por usar a engenharia social para enganar os usuários e infectar seus dispositivos. “O truque mais comum é falsificar aplicativos bancários, jogos que ainda não foram lançados e atualizações de segurança ou flash”, observa. Ele pode se alojar até mesmo no Android 6, supostamente projetado para ser  protegido desse tipo de sobreposição maliciosa.

Para uma proteção efetiva contra o Marcher é necessária uma estratégia  proativa que considere sua mutabilidade.

“Da mesma forma que  sempre buscamos  melhorar a nossa proteção contra a fraude, os fraudadores  sempre procuram novas maneiras de  criar ataques bem-sucedidos. Se um ataque se revelar ineficaz, os cyber criminosos tentarão novamente com uma estratégia mais forte”, destaca Edgar Porras.

Essa estratégia também deve considerar a integração de  bibliotecas SDK no aplicativo, para permitir  avaliações baseadas no risco do dispositivo e que detectem comportamentos maliciosos.  Além disso, o analista da Easy Solutions sugere que se utilize  um fornecedor que ofereça monitoramento contínuo de ameaças externas em tempo real e que seja capaz de neutralizar os servidores usados pelo Trojan.

“No caso de empresas, uma estratégia preventiva  é ainda mais necessária, a fim de evitar  aplicativos fraudulentos que falsificam a  marca da empresa em lojas oficiais e não oficiais e que interfiram com outros aspectos da segurança. Além disso, os usuários devem estar atentos aos  riscos que podem  afetar dispositivos móveis”, completa.

Embora  os Trojans Marcher sejam semelhantes, cada versão contém algumas alterações no código geral. Por exemplo, a ofuscação de código, o armazenamento de informações confidenciais e técnicas de proteção são sempre atualizadas, enquanto as principais funcionalidades permanecem as mesmas em todas as versões.

De todos os módulos que ajudam os fraudadores a criar ataques bem-sucedidos, os  mais importantes são a interceptação de SMS, execução de controle remoto,  envio de comandos USSD, envio de SMS, bloqueio do dispositivo, habilita/des, ilita sons, implementação de SOCKS 5 e sobreposição de telas.