Malware Android: Falha de segurança também atinge criminosos

Falhas de segurança expuseram um sindicato criminoso que teve acesso a milhões de euros de contas bancárias de cerca de 800.000 vítimas.

Por Segurança digital Pular para comentários
Malware Android: Falha de segurança também atinge criminosos

A equipe do Avast Threats Lab ajudou a fechar o cerco em volta da botnet* Geost, que vinha utilizando 13 servidores de comando e controle para executar centenas de domínios maliciosos.

A rede de bots era responsável por captar informações bancárias na Rússia até que, de forma irônica, uma falha de segurança expos toda a operação do grupo hacker envolvido, incluindo o que os cibercriminosos integrantes do grupo conversavam entre si on-line.

"Nós realmente tivemos uma visão sem precedentes de como uma operação como essa funciona", disse Anna Shirakova, pesquisadora da Avast, que ajudou a expor o grupo criminoso. "Como esse grupo fez algumas escolhas muito ruins na tentativa de ocultar suas ações, pudemos ver não apenas amostras do malware, mas também nos aprofundarmos no funcionamento do grupo".

O grupo usava uma infraestrutura complexa de dispositivos Android infectados, conectados à botnet Geost que os controlava remotamente.

Funcionamento da botnet (imagem: Avast)
Funcionamento da botnet (imagem: Avast)

Os invasores através de malwares, monitoravam mensagens de texto, SMS, para captar as informações bancárias, comunicavam-se com bancos e redirecionavam o tráfego dos dispositivos para sites falsos.

Um trabalho de pesquisa de Shirokova, Sebastian Garcia, da Universidade Técnica Tcheca, em Praga, e Maria Jose Erquiaga, da Universidade UNCUYO, forneceram uma visão ampla de como toda a operação criminosa funcionava devido a seus próprios erros de segurança durante o trânsito dos dados roubados.

Os hackers confiaram em uma rede proxy maliciosa e não conseguiram criptografar servidores de comando e controle, além de confiar em outros hackers que tinham um sistema de segurança ainda mais falho e, para facilitar ainda mais, trocavam mensagens entre eles em chats não criptografados.

A prepotência e a certeza da impunidade fez com que o grupo cometesse erros básicos que facilitaram sua descoberta.

"Em resumo, uma cadeia de pequenos erros foi suficiente para divulgar a operação de uma grande rede de bots bancários Android", escreveram os autores no trabalho de pesquisa.

As conversas captadas durante os bate-papos ofereceram uma oportunidade de ouvir o que praticamente todos os integrantes conversavam entre si, inclusive o descontentamento de alguns com o que estava sendo feito.

"A visão muito interessante das relações sociais dentro de um grupo de cibercriminosos clandestinos" envolveu mais de 6.200 linhas, abrangendo oito meses de bate-papos, e mostrou as conversas privadas de 29 pessoas envolvidas em diferentes operações.

Apesar de operar desde pelo menos 2016, a botnet Geost permaneceu desconhecida até que seu tráfego foi capturado pelo malware HtBot no servidor malicioso. Se isso não tivesse acontecido provavelmente o grupo ainda estaria lesando centenas de milhares de pessoas. Um malware expondo outro malware.

Os pesquisadores estão apresentando seu trabalho na conferência Virus Bulletin, em Londres. O Avast Threats Lab continuará monitorando diferentes aspectos da operação.

*botnet - grupo de computadores conectados à Internet, cada um deles rodando um ou mais bots e se comunicando com outros dispositivos, a fim de executar determinada tarefa.

Leia também: Os 10 melhores antivírus pagos em 2019. Acompanhe as últimas notícias de tecnologia aqui no Oficina da Net. Sempre trazendo conteúdos novos e produtos interessantes.

Compartilhe com seus amigos:
Comentários:
Carregar comentários