Trojan Android infecta dezenas de milhares de dispositivos em 4 meses - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Trojan Android infecta dezenas de milhares de dispositivos em 4 meses


Um novo conta-gotas de Trojan apelidado de xHelper foi observado enquanto lentamente, mas constantemente se espalhando para mais e mais dispositivos Android desde maio, com mais de 32.000 smartphones e tablets tendo sido encontrados infectados nos últimos quatro meses.
Os dispositivos de combate a cavalos de troia são ferramentas usadas por agentes de ameaças para oferecer outros tipos de malware mais perigosos a dispositivos já comprometidos, incluindo, entre outros, Trojans clicker, cavalos de Troia bancários e ransomware.
O xHelper, apelidado de Android / Trojan.Dropper.xHelper pelos pesquisadores do Malwarebytes Labs que o descobriram, foi inicialmente identificado como um conta-gotas de Trojan genérico apenas para ser atualizado para a classificação de uma ameaça completa após entrar no top 10 mais detectado do fornecedor de segurança. malware móvel em apenas alguns meses.

Pacotes DEX criptografados e ofuscados em vez de APKs

Além do grande número de dispositivos em que foi encontrado, o xHelper também vem com uma série de outras peculiaridades, incluindo o fato de que ele se espalha usando arquivos DEX (Dalvik Executable) camuflados como arquivos JAR, contendo código de aplicativo Android compilado.
Esse método de infectar novos dispositivos Android é bastante singular, já que a maioria dos usuários de dispositivos móveis usa um APK (pacote Android) junto com um aplicativo infectado, APKs que são posteriormente descartados na pasta "Ativos" e instalados e executados no smartphone ou tablet comprometido .
Os arquivos DEX criptografados usados ​​pelo xHelper como parte de seu processo de infecção são primeiro descriptografados e depois compilados usando a ferramenta de compilador dex2oat em um binário ELF (Executable and Linkable Format) que é executado nativamente pelo processador do dispositivo. 
Ao usar essa técnica complicada, os autores do xHelper diminuem drasticamente a chance de ter seu conta-gotas detectado e também ocultam suas verdadeiras intenções e objetivo final.
Para analisar o arquivo DEX criptografado, os pesquisadores permitem que ele infecte um dispositivo Android para exportar a versão descriptografada de seu armazenamento. No entanto, essa versão foi ofuscada e apresentava variações no código-fonte para todas as amostras descobertas, "dificultando a identificação exata de qual é o objetivo do malware móvel".
"No entanto, acredito que sua principal função é permitir que comandos remotos sejam enviados para o dispositivo móvel, alinhando-o ao seu comportamento de se esconder em segundo plano como um backdoor", diz Nathan Collier, analista sênior de Malware Intelligence da Malwarebytes Labs.
"Independentemente de suas verdadeiras intenções, a tentativa inteligente de ofuscar seu comportamento de dropper é suficiente para classificar isso como uma ameaça desagradável."

Furtivo, mas não realmente

Depois de analisar todas as amostras, os pesquisadores também descobriram que o xHelper vem em duas variantes distintas, uma que passa por suas tarefas maliciosas em modo furtivo e outra projetada para funcionar de maneira semi-furtiva através dos dispositivos Android comprometidos, enquanto também mostra algumas dicas de sua presença.
A variante furtiva evita a criação de ícones no dispositivo infectado e não exibe nenhum tipo de alerta que revele sua presença, sendo o único sinal que indica a existência de uma  listagem de xhelper na seção de informações do aplicativo.
A variante com apenas metade de suas capacidades ninjas ativadas é muito mais ousada, criando um  ícone xhelper no menu de notificações e, gradualmente enviando mais alertas para a área de notificações.
Depois de tocar em uma dessas notificações, as vítimas são redirecionadas para sites com jogos de navegador que, embora inofensivos, estão mais do que propensos a permitir que os operadores de malware coletem sua parcela de pagamento pelos lucros gerados por cada visita.

Vetor de infecção ainda desconhecido

Dada a sua capacidade demonstrada de infectar rapidamente novos dispositivos, o xHelper é definitivamente uma ameaça a ser levada em consideração. O Malwarebytes Labs encontrou-o em quase 33.000 dispositivos móveis ao longo de apenas quatro meses, cobrindo apenas os dispositivos Android nos quais o Malwarebytes para Android foi instalado.
Como dizem os pesquisadores, o número de smartphones e tablets comprometidos está aumentando a cada dia, com centenas de novos alvos sendo infectados diariamente.
Embora o vetor de infecção preciso ainda não tenha sido descoberto, "a análise mostra que o xHelper está sendo hospedado em endereços IP nos Estados Unidos. Um foi encontrado em Nova York, Nova York; e outro em Dallas, Texas".
"Portanto, é seguro dizer que este é um ataque direcionado aos Estados Unidos", acrescentam os pesquisadores, concluindo que "essa infecção móvel está sendo disseminada por redirecionamentos da Web, talvez pelos sites de jogos mencionados acima, que também estão hospedados nos EUA". ou outros sites obscuros. "
Como um método para evitar a infecção, o Malwarebytes Labs recomenda ter cuidado ao navegar na Web no seu dispositivo Android, selecionando cuidadosamente os sites móveis que você visita.

Não o primeiro, não o último

Este não é o primeiro malware segmentado para usuários do Android descoberto em agosto, com outro Trojan Dropper sendo descoberto pela Kaspersky  hoje, sob a forma de um módulo malicioso escondido no aplicativo Android CamScanner, baixado mais de 100 milhões de vezes da Play Store do Google.
Pesquisadores da Doctor Web descobriram anteriormente um  Trojan clicker dentro de 33 aplicativos  e distribuídos pela loja oficial do Google, também baixada mais de 100 milhões de vezes por usuários desavisados.
Ainda na semana passada, outro aplicativo para Android, incluindo os recursos de spyware do AhMyth Android RAT de código aberto, foi capaz  de contornar a proteção automatizada de malware do Google Play Store  duas vezes em apenas duas semanas, conforme descobriram os pesquisadores da ESET.

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search