O Zanubis, um trojan bancário para Android, apareceu em agosto de 2022, visando utilizadores financeiros e de criptomoedas no Peru. Fazendo-se passar por aplicações Android legítimas, engana os utilizadores para que concedam permissões de acessibilidade, perdendo assim o controlo. Em abril de 2023, o Zanubis evoluiu, fazendo-se passar pela aplicação oficial da organização governamental peruana SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), demonstrando maior sofisticação.
O Zanubis é ofuscado com a ajuda do Obfuscapk, um popular ofuscador para ficheiros APK do Android. Assim que obtém permissão para aceder ao dispositivo, engana a vítima carregando um site SUNAT real usando o WebView, fazendo-o parecer legítimo.
Para comunicar com o seu servidor de controlo, utiliza WebSockets e uma biblioteca chamada Socket.IO. Isto permite-lhe adaptar-se e manter-se ligado mesmo que haja problemas. Ao contrário de outro malware, o Zanubis não tem uma lista fixa de aplicações alvo. Em vez disso, pode ser programado remotamente para roubar dados quando determinadas aplicações estão a ser executadas. Este malware até cria uma segunda ligação, o que pode dar aos malfeitores controlo total sobre o dispositivo. E a pior parte é que pode desativar o dispositivo fingindo ser uma atualização do Android.
Outra descoberta recente feita pela Kaspersky é o AsymCrypt cryptor/loader, que visa carteiras de criptomoedas e está a ser vendido em fóruns clandestinos. Como a investigação demonstrou, trata-se de uma versão evoluída do DoubleFinger loader, atuando como uma "fachada" para um serviço de rede TOR. Os compradores personalizam os métodos de injeção, os processos alvo, a persistência de arranque e os tipos de stub para DLLs maliciosas, escondendo o payload numa bolha encriptada dentro de uma imagem .png carregada para um site de alojamento de imagens. A execução desencripta a imagem, ativando o payload na memória.
O rastreio das ciberameaças pela Kaspersky também levou ao Lumma stealer, uma linhagem de malware em evolução. Originalmente conhecido como Arkei, o Lumma rebatizado retém 46% dos seus atributos anteriores. Disfarçado de conversor de .docx para .pdf, a sua distribuição enganosa desencadeia o payload malicioso quando os ficheiros carregados regressam com uma extensão dupla .pdf.exe. Ao longo do tempo, a principal funcionalidade de todas as variantes manteve-se a mesma: roubar ficheiros em cache, ficheiros de configuração e registos de carteiras criptográficas. O malware faz tudo isto atuando como um plugin de browser, mas também suporta a aplicação Binance independente. A evolução do Lumma inclui a aquisição de listas de processos do sistema, a alteração de URLs de comunicação e o avanço das técnicas de encriptação.
“Os cibercriminosos são incansáveis na sua busca por ganhos monetários, aventurando-se no mundo das criptomoedas e até fazendo-se passar por instituições governamentais para atingir os seus objetivos. O cenário em constante evolução do malware, exemplificado pelo multifacetado Lumma stealer e as ambições do Zanubis como um Trojan bancário de pleno direito, sublinha a natureza dinâmica destas ameaças. A adaptação a esta constante transformação do código malicioso e das táticas dos cibercriminosos constitui um desafio permanente para as equipas de defesa. Para se protegerem contra estes perigos em evolução, as organizações devem manter-se vigilantes e bem informadas. Os relatórios de inteligência desempenham um papel fundamental para nos mantermos a par das mais recentes ferramentas maliciosas e técnicas de ataque, permitindo-nos estar um passo à frente na batalha contínua pela segurança digital,” refere Tatyana Shishkova, investigadora de segurança do grupo GReAT.
Para ler o relatório completo, consulte a Securelist.com