WebInject to mobile attack

Publicado por Oscar Juárez - 27/02/2018

Em diversas ocasiões, na bugFraud detectamos ataques de webinject que começaram com um Trojan bancário no computador e que, em virtude das proteções oferecidas pelas entidades bancárias, tiveram que se adaptar para atacar o dispositivo móvel.

Os delinquentes cibernéticos utilizam diferentes técnicas de engenharia social para manipular os usuários com a intenção de fazer com que estes instalem um aplicativo no celular que permita driblar as proteções de autenticação em dois estágios (2FA) do banco e, inclusive, recuperar mais dados da vítima para continuar explorando-os posteriormente.

Um de nossos clientes está sofrendo de forma contínua este tipo de ataque e, por isso, em nossos buguroo LABs, decidimos descrever a ameaça de forma genérica para explicar seu funcionamento e como este tipo de ameaça adaptou-se a outras plataformas.



Roubo de credenciais e dados bancários

A injeção sobre a qual vamos falar comprova certos campos do website da entidade bancária para detectar em que página o usuário se encontra.

Caso se encontre na página de autenticação ou acesso a clientes, o código malicioso roubará o número de identificação e a senha.

Se, ao contrário, já estiver autenticado, tentará recuperar informações bancárias, como contas ativas e saldo disponível. Desta forma, posteriormente o criminoso pode ter conhecimento de como são as vítimas para decidir qual delas roubar.

Além disso, a injeção analisada tenta, através de um HTML especialmente criado para este fim, fazer com que o usuário introduza um cartão de débito e seu PIN, com o objetivo de ter mais meios para subtrair dinheiro das contas da vítima.

 

webinject-to-mobile-attack-01.jpg
Ilustração 1. Roubo de cartão de débito


Engano à vítima

Através do código malicioso, o delinquente digital tenta induzir a vítima a pensar que existe um novo aplicativo de segurança da entidade bancária, e deste modo conseguir acesso ao seu dispositivo móvel.

 

webinject-to-mobile-attack-02.jpg
Ilustração 2. Escolha do dispositivo

Dependendo da seleção realizada pela vítima, a injeção tentará instalar um aplicativo que afete o seu celular.

Como este ataque não conta com uma versão para o sistema IOS, se a vítima escolher a opção Apple, estará segura.

Caso contrário, se escolher qualquer uma das outras referências, o programa tentará induzir o usuário a baixar e instalar um aplicativo perigoso para Android.



Instalação de APK

Para fazer com que a instalação seja bem-sucedida, o browser mostrará ao usuário as modificações que este deve realizar em seu dispositivo móvel e solicitará um código gerado pelo aplicativo malicioso, com o objetivo de conseguir visualizar, dentro da sua lista de vítimas, qual delas foi infectada corretamente.

webinject-to-mobile-attack-03.jpg
Ilustração 3. Instalação a partir de fontes desconhecidas



Roubo de SMS

Uma vez instalado, o aplicativo solicita elevar os privilégios e mudar o app de gerenciamento de mensagens de texto. Desta forma terá acesso às mensagens recebidas e as tratará para enviá-las posteriormente ao painel de controle do atacante.

webinject-to-mobile-attack-04.jpg
Ilustração 4. Ler as mensagens de texto recebidas



Conclusão

Como estamos vendo, os Trojans bancários foram evoluindo de maneira que o malware já é capaz de rastrear todos os dispositivos relacionados com a vítima para driblar as medidas de autenticação em dois estágios (2F).

Atualmente, a proteção contra estes ataques pode ser abordada segundo diferentes perspectivas. Por um lado, podemos proteger o usuário infectado pelo trojan bancário e bloquear a injeção detectada. Por outro lado, podemos detectar o aplicativo malicioso que está tentando realizar alterações no dispositivo móvel. Finalmente, podemos detectar um Account Takeover e bloquear o uso das credenciais roubadas.

Nossa solução bugFraud permite abordar as diferentes perspectivas e proteger tanto a vítima como a organização, evitando assim a fraude. 

Deep Learning for Online Fraud Prevention

Topics: malware, account takeover, webinjects, credenciais roubadas, trojan bancário


Notícias relacionadas

Malware para criptomoedas: uma mistura explosiva

read more

Top 3 países de cibercriminosos especializados em fraude online

read more

Cibercriminosos do setor financeiro: compreendendo os "malvados" que estão por trás do teclado

read more