Novo malware bancário para
Android representa alto risco aos usuários de mobile banking
A Check Point Research relata
um novo malware bancário para Android, o MaliBot; além disso, aponta uma nova
variante do Emotet e que segue como malware mais prevalente globalmente
(14,12%) e na lista do Brasil com o elevado índice de 42,19%
A Check
Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software
Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de
cibersegurança global, publicou o Índice Global de Ameaças referente ao mês de
junho de 2022. Os pesquisadores relataram o surgimento de um novo malware móvel
bancário para Android, chamado MaliBot, após a remoção do FluBot no final
de maio.
Embora
recém-descoberto, o MaliBot, um malware bancário, já alcançou o terceiro lugar
na lista de malwares móveis mais prevalentes. Ele se disfarça como aplicativos
de mineração de criptomoedas com nomes diferentes e tem como alvo usuários de
mobile banking para roubar informações financeiras. Semelhante ao FluBot, o
MaliBot usa mensagens SMS de phishing (smishing) para atrair as vítimas, a fim
de que cliquem em um link malicioso que as redirecionarão para efetuar o
download de um aplicativo falso contendo o malware.
Também em
junho, o malware Emotet continuou aparecendo na posição de mais prevalente no
mundo. Os pesquisadores relataram ainda sobre uma nova variante do Emotet,
que surgiu no mês passado, cujos recursos visam o roubo de cartão de crédito e
tem como alvo os usuários do navegador Chrome.
O Snake
Keylogger vem em terceiro lugar após um aumento em sua atividade desde que
apareceu em oitavo lugar em maio. A principal funcionalidade do Snake é
registrar as teclas digitadas pelos usuários e transmitir os dados coletados
para os atacantes. Enquanto em maio a CPR testemunhou o Snake Keylogger sendo
entregue via arquivos PDF, recentemente este malware foi distribuído por
e-mails contendo anexos do Word marcados como solicitações de cotações.
“Embora
seja sempre bom ver ações bem-sucedidas de aplicação da lei para derrubar
grupos de crimes cibernéticos ou malwares, como o FluBot, infelizmente não
demorou muito para que um novo malware móvel tomasse seu lugar”, afirma Maya
Horowitz, vice-presidente de Pesquisa da Check Point Software Technologies.
“Os
cibercriminosos estão bem cientes do papel central que os dispositivos móveis
desempenham na vida de muitas pessoas e estão sempre adaptando e melhorando
suas táticas para corresponder a isso. O cenário de ameaças evolui rapidamente
e o malware móvel é um perigo significativo para a segurança pessoal e
corporativa. Nunca foi tão importante ter uma solução robusta de prevenção de
ameaças móveis”, alerta Maya.
Principais
famílias de malware
* As setas
referem-se à mudança na classificação em comparação com o mês anterior.
Em junho, o
Emotet prosseguiu como o malware mais popular, afetando 14,12% das organizações
em todo o mundo, seguido pelo Formbook e pelo Snake Keylogger, cada um
impactando 4,4% das organizações globalmente.
↔ Emotet - É um
trojan avançado, auto propagável e modular. O Emotet era anteriormente um trojan
bancário e recentemente foi usado como distribuidor de outros malwares ou
campanhas maliciosas. Ele usa vários métodos para manter técnicas de
persistência e evasão para evitar a detecção. Além disso, ele pode se espalhar
por e-mails de spam de phishing contendo anexos ou links maliciosos.
↔ Formbook -- É um
InfoStealer direcionado ao sistema operacional Windows e foi detectado pela
primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em
fóruns de hackers ilegais por suas fortes técnicas de evasão e preço
relativamente baixo. O FormBook coleta credenciais de vários navegadores da
Web, captura telas, monitora e registra digitações de teclas e pode baixar e
executar arquivos de acordo com as ordens de seu C&C (Comando &
Controle).
↑ Snake Keylogger - É um
keylogger .NET modular e que rouba credenciais, descoberto pela primeira vez no
final de novembro de 2020. Sua função principal é registrar as teclas digitadas
pelos usuários e transmitir os dados coletados para os atacantes. As infecções
por Snake representam uma grande ameaça à privacidade e segurança online dos
usuários, pois o malware pode roubar praticamente todos os tipos de informações
confidenciais e é um keylogger particularmente evasivo e persistente.
A lista
completa das dez principais famílias de malware em junho pode ser encontrada no blog da Check Point
Software.
Principais
setores atacados globalmente e no Brasil
Quanto aos
setores, em junho, Educação e Pesquisa prossegue sendo o setor mais atacado
globalmente, seguido por Governo/Militar e Saúde.
1.Educação/Pesquisa
2.Governo/Militar
3.Saúde
No Brasil,
os três setores no ranking nacional mais visados em junho foram:
1.Governo/Militar
2.Varejo/Atacado
3.Comunicações
O setor de
Educação/Pesquisa ficou em sexto lugar no ranking nacional pelo segundo mês
consecutivo.
Principais
vulnerabilidades exploradas
Em junho, a
equipe da CPR também revelou que a “Apache Log4j Remote Code Execution” foi a
vulnerabilidade mais explorada, impactando 43% das organizações no mundo,
seguida de perto pela “Web Server Exposed Git Repository Information
Disclosure”, cujo impacto global foi de 42,3%. A “Web Servers Malicious URL
Directory Traversal” ficou em terceiro lugar na lista de vulnerabilidades mais
exploradas, com um impacto global de 42,1%.
↑ Apache
Log4j Remote Code Execution (CVE-2021-44228) - Existe uma
vulnerabilidade de execução remota de código no Apache Log4j. A exploração
bem-sucedida dessa vulnerabilidade pode permitir que um atacante remoto execute
código arbitrário no sistema afetado.
↑ Web Server Exposed Git Repository Information
Disclosure - a vulnerabilidade de divulgação de informações foi
relatada no Repositório Git. A exploração bem-sucedida desta vulnerabilidade
pode permitir a divulgação não intencional de informações da conta.
↓ Web Servers Malicious URL Directory
Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780,
CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530,
CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410,
CVE-2020-8260) - Existe uma vulnerabilidade de passagem de
diretório em diferentes servidores da web. A vulnerabilidade ocorre devido a um
erro de validação de entrada em um servidor Web que não limpa adequadamente a
URI (Uniform Resource Identifier) para os padrões de passagem de diretório. A
exploração bem-sucedida permite que atacantes remotos não autenticados
divulguem ou acessem arquivos arbitrários no servidor vulnerável.
Principais
malwares móveis
Em junho, o
AlienBot é o malware móvel mais prevalente, seguido por Anubis e o novo malware
bancário MaliBot.
1. AlienBot - A
família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos
Android que permite a um atacante remoto, como primeira etapa, injetar código
malicioso em aplicativos financeiros legítimos. O atacante obtém acesso às
contas das vítimas e, eventualmente, controla completamente o dispositivo.
2. Anubis é
um cavalo de Troia bancário projetado para smartphones Android. Desde que foi
detectado inicialmente, ele ganhou funções adicionais, incluindo a
funcionalidade Remote Access Trojan (RAT), keylogger, recursos de gravação de
áudio e vários recursos de ransomware. Foi detectado em centenas de aplicativos
diferentes disponíveis na Google Store.
3. MaliBot é
um malware bancário do Android que foi detectado visando usuários na Espanha e
na Itália. Este malware se disfarça como aplicativos de mineração de
criptomoedas com nomes diferentes e se concentra no roubo de informações
financeiras, carteiras de criptomoedas e mais dados pessoais.
Os principais malwares de junho no Brasil
O principal malware no Brasil em junho continuou sendo o
Emotet, com um índice de impacto elevado de 42,19% (este malware liderou a
lista nacional de maio com índice de 23,55%). A novidade do Emotet, como
mencionado no início deste texto, está por conta de uma nova variante
identificada em junho que tem recursos de roubo de cartão de crédito e seu alvo
são os usuários do navegador Chrome.
Já o Chaes manteve-se em segundo lugar (com o mesmo índice de
impacto de maio de 6,88%) no ranking nacional; este malware ataca plataformas
de e-commerce principalmente na América Latina e foi o responsável pela
campanha que visava o roubo de informações de consumidores do Mercado Livre e
Mercado Pago, entre outros.
O Índice de
impacto de ameaças globais da Check Point Software e seu mapa ThreatCloud são alimentados
pela inteligência ThreatCloud da Check Point, a maior rede colaborativa que
fornece inteligência de ameaças em tempo real derivada de centenas de milhões
de sensores em todo o mundo, em redes, endpoints e dispositivos móveis. A
inteligência é enriquecida com mecanismos baseados em IA e dados de pesquisa
exclusivos da divisão Check Point Research (CPR).
 |
| Imagem ilustrativa - Divulgação Check Point Software |
Check
Point Research
Blog
Twitter
Check
Point
Twitter
Facebook
Blog
YouTube
LinkedIn
