Malware financeiro para Android disponível gratuitamente em fóruns

Os investigadores da Kaspersky têm vindo a acompanhar ativamente o reaparecimento do malware financeiro para dispositivos Android desde julho de 2020, na sequência do abandono do projeto, tentativa de venda e eventual lançamento por parte do programador original. Através da evolução das suas funcionalidades, como o roubo de autenticação de dois fatores (2FA) e a ferramenta de acesso remoto (RAT), o nível de infeções do Cerberus aumentou, especialmente na Rússia e na Europa.

O Cerberus é um sofisticado malware financeiro para dispositivos Android, detetado pela primeira vez no Verão de 2019 e ativamente distribuído numa base MaaS (Malware-as-a-Service), através de vários fóruns clandestinos. A recente fuga do seu código fonte - referida como “Cerberus v2” - abre agora um novo mundo de oportunidades para os cibercriminosos, com destaque para aqueles que visam atacar o setor bancário através de dispositivos Android.

Apesar de os programadores do Cerberus terem procurado dar um novo rumo ao projeto em abril deste ano, os leilões para o código fonte começaram em finais de julho, devido à desintegração da equipa de desenvolvimento. Movido pelas suas razões, o autor decidiu mais tarde publicar o código fonte do projeto num popular fórum clandestino de língua russa, dando apenas acesso a utilizadores premium.

Como resultado, houve um aumento imediato de infeções de aplicações móveis e tentativas de roubo de dinheiro aos consumidores na Rússia e em toda a Europa, à medida que cada vez mais cibercriminosos adquirem o malware gratuitamente.

Desde que se começou a acompanhar sua atividade, em 2019, a sofisticação do Cerberus adquiriu novos níveis de funcionalidade, tal como o Anubis, outro exemplo de malware financeiro para Android que se tornou público em finais de 2019, em detrimento dos clientes e dos próprios bancos.

A Kaspersky continua a investigar a fundo a 'v2', tendo já conseguido obter o arquivo que incluía o código fonte divulgado. A análise aprofundada à infraestrutura já revelou a capacidade do malware para enviar e roubar secretamente códigos SMS, para abrir sobreposições de ecrã personalizadas para vários bancos online, e para roubar códigos “2FA”, incluindo do Google Authenticator. O malware tem outras funcionalidades adicionais, como o acesso ao cartão de crédito do cliente e aos seus detalhes de contacto, bem como a capacidade de redirecionar chamadas ou adulterar as funcionalidades móveis através das suas características RAT, e conceder automaticamente as permissões necessárias no que diz respeito à autenticação.

No entanto, esta é apenas a ponta do iceberg, sendo necessário que os consumidores tomem medidas para combater a ameaça.

"As descobertas da Kaspersky sobre o Cerberus v2 acabam por funcionar como um aviso para todos aqueles que são responsáveis pela segurança do Android e, em particular, pela sua segurança bancária. Já estamos a assistir a um aumento dos ataques aos utilizadores desde que o código fonte foi publicado. Não é a primeira vez que vemos algo assim acontecer, mas este crescimento de atividade desde que os criadores abandonaram o projeto é o maior que registámos até á data”, comenta Dmitry Galov, Investigador de Segurança da Kaspersky.

E acrescenta: "continuamos a investigar todos os vestígios encontrados associados ao código e vamos rastrear toda a atividade relacionada. No entanto, a melhor forma de defesa que os utilizadores podem adotar é uma boa “higiene de segurança” nos seus dispositivos móveis e no que toca à sua segurança bancária”.