Um novo Trojan bancário para Android chamado BrasDex, foi observado mirando usuários brasileiros como parte de uma campanha multiplataforma em andamento.
Trojan BrasDex visa usuários bancários brasileiros
O BrasDex apresenta um “sistema complexo de keylogging projetado para abusar dos Serviços de Acessibilidade para extrair credenciais especificamente de um conjunto de aplicativos direcionados ao Brasil”. De acordo com a ThreatFabric (Via: The Hacker News), esse novo Trojan conta com um mecanismo de Sistema de Transferência Automatizada (ATS) altamente capaz.
Ainda de acordo com a ThreatFabric a infraestrutura de comando e controle (C2) usada em conjunto com a BrasDex também está sendo usada para controlar o Casbaneiro (malware Windows do mesmo grupo de hackers), que é conhecido por atacar bancos e serviços de criptomoedas no Brasil e no México. Estima -se que a campanha híbrida de malware para Android e Windows tenha resultado em milhares de infecções até o momento.
Santander sendo usado para golpes pelos cibercriminosos
O BrasDex, que se disfarça de aplicativo bancário do Banco Santander, também é emblemático de uma nova tendência que envolve o abuso das APIs de acessibilidade do Android para registrar as teclas digitadas pelas vítimas, afastando-se do método tradicional de ataques de sobreposição para roubar credenciais e outros dados pessoais.
Além disso, ele também foi projetado para capturar informações do saldo da conta, usando-as posteriormente para assumir o controle de dispositivos infectados e iniciar transações fraudulentas de maneira programática.
Outro destaque da BrasDex é seu foco exclusivo na plataforma de pagamentos PIX, que permite fazer transferências de dinheiro simplesmente usando seus endereços de e-mail ou números de telefone. O sistema ATS no BrasDex é explicitamente projetado para abusar da tecnologia PIX para fazer transferências fraudulentas.
Esta não é a primeira vez que o ecossistema de pagamentos instantâneos é alvo de cibercriminosos. Em setembro de 2021, a Check Point detalhou duas famílias de malware para Android chamadas PixStealer e MalRhino, que induziam os usuários a transferir todos os saldos de suas contas para uma controlada por ator.
A investigação da ThreatFabric sobre a BrasDex também permitiu que ela obtivesse acesso ao painel C2 usado pelos operadores criminosos para rastrear os dispositivos infectados e recuperar logs de dados extraídos dos telefones Android.
O painel C2, por acaso, também está sendo utilizado para monitorar uma outra campanha de malware que compromete as máquinas Windows para implantar o Casbaneiro, um trojan financeiro baseado em Delphi.
Essa cadeia de ataque emprega iscas de phishing com tema de entrega de pacotes, supostamente dos Correios, um serviço postal estatal, para induzir os destinatários a executar o malware após um processo de várias etapas.