Malware FunkyBot intercepta códigos 2FA do Android. O spyware se apresenta como um aplicativo legítimo, se espalhando por mensagens SMS para as listas de contatos das vítimas.

Um malware para Android chamado “FunkyBot” começou a aparecer no Japão, operado pelos mesmos atacantes responsáveis ​​pelo malware FakeSpy. Ele intercepta mensagens SMS enviadas para e de dispositivos infectados. Desta forma o malware FunkyBot intercepta códigos 2FA do Android que usualmente são enviados via texto sms.

De acordo com o FortiGuard Labs, eles monitoraram os atores do malware (nomeado após o log de strings encontrado no mecanismo de persistência da carga) e os sites de phishing que eles criaram e, recentemente, percebemos que eles começaram a implantar uma carga útil diferente do FakeSpy divulgado no ano passado.

Como nas campanhas anteriores, essa carga útil consiste em um empacotador e uma carga útil. No entanto, ambos são diferentes dos que encontraram anteriormente. O Malware se disfarça como um aplicativo Android legítimo. Assim, a carga útil consiste em dois arquivos .dex: um é uma cópia do aplicativo legítimo original que o malware está representando e o outro é um código malicioso.

Quanto à cadeia de ataque, um empacotador determina primeiro em qual versão do Android o telefone está sendo executado, para gerar a carga útil adequada. Depois disso, a carga útil é iniciada chamando a classe `runCode` do método através da reflexão Java. Isso inicia uma classe chamada KeepAliceMain, que é usada como mecanismo de persistência pelo malware.

Ele usa uma biblioteca de código aberto que pode ser encontrada no Github para manter o serviço ativo no dispositivo“, explicou Dario Durando, do FortiGuard, em um blog esta semana. “Ele também permite que o malware silencie os sons do dispositivo“.

Curiosamente, o malware usa a mídia social para obter o endereço do servidor de comando e controle (C2). Durando disse que baixa a página de uma conta do Instagram sem foto. Em seguida, extrai o campo de biografia desta conta e decodifica-o usando Base64.

Depois que a conexão com o servidor é iniciada, o malware prossegue com a impressão digital do dispositivo, enviando o IMEI, o IMSI (Identidade Internacional de Assinante de Celular Internacional) e o número de telefone para os atacantes. Esses dados são usados ​​para tomar decisões sobre comportamentos posteriores.

É interessante notar que o malware identifica o provedor do cartão SIM e procura especificamente um provedor de telecomunicações japonês específico“, explicou Durando. “Para fazer isso, ele verifica o valor IMSI do dispositivo. Esse valor é composto de duas metades: a primeira identifica o provedor e a segunda é exclusiva para o dispositivo específico. ”

Ele também colhe a lista de contatos da vítima para fins de propagação; ou seja, o C2 envia um número de telefone e um corpo da mensagem ao malware, que ele usa para gerar uma mensagem SMS que será enviada a todos da lista.

A quantidade de informação exfiltrada é relativamente limitada, especialmente quando comparada a famílias maiores como Anubis, Cerberus ou Hydra“, disse Durando. “No entanto, como nas campanhas anteriores [como o FakeSpy], ele também possui técnicas agressivas de disseminação … para permitir que o malware se espalhe de maneira semelhante a um verme“.

Voltando à impressão digital, se o provedor específico desejado estiver associado ao dispositivo, o malware aumentará o número máximo de mensagens SMS que ele se permite enviar.

Após algumas pesquisas, concluímos que esse comportamento pode ser apenas porque o provedor permite que os clientes enviem mensagens SMS gratuitas um para o outro, aumentando a quantidade de tráfego que um único dispositivo infectado é capaz de gerar antes de levantar suspeitas“, disse Durando.

E, em seu último estágio, o FunkyBot altera as configurações do dispositivo para se tornar o aplicativo padrão de tratamento de SMS.

[Ele] usa isso para enviar para o C2 todas as mensagens recebidas“, disse Durando. “Essa funcionalidade pode ser muito perigosa, considerando que a maioria dos bancos atualmente usa autenticação de dois fatores por SMS.

Além da amostra analisada voltada para o Japão, o FortiGuard também encontrou outras que não estavam completamente desenvolvidas e não possuíam algumas das funcionalidades do binário principal.

[Isso sugere] que o malware está atualmente em desenvolvimento e está sendo testado na natureza“, disse Durando. As capacidades dessa família são limitadas no momento, mas o fato de termos encontrado amostras diferentes que mostraram uma melhora significativa no período de algumas semanas mostra que essa família não deve ser subestimada“.

Fonte: ThreatPost & Fortnet e Minuto da Segurança