BasBanke: Trojan bancário brasileiro

BasBanke

O que é BasBanke

BasBanke é uma nova família de malware Android voltada para usuários brasileiros. É um Trojan bancário criado para roubar dados financeiros, como credenciais e números de cartões de crédito / débito, mas não limitado a essa funcionalidade. A propagação dessa ameaça começou durante as eleições brasileiras de 2018, registrando mais de 10.000 instalações até abril de 2019 apenas da Google Play Store oficial.

Esse malware pode executar tarefas como registro de teclas, gravação de tela, interceptação de SMS e roubo de informações financeiras e de cartão de crédito. Para induzir os usuários a baixar o malware, os autores anunciam via Facebook e WhatsApp. Os novos URLs da campanha redirecionam as vítimas para a Google Play Store oficial ou para um site que hospeda pacotes de APK maliciosos.

BasBanke
Aplicativos maliciosos usados para distribuir o BasBanke, hospedado na Google Play Store.

Como funciona o Basbanke

Os aplicativos maliciosos hospedados na Google Play Store se disfarçam como aplicativos com suposta funcionalidade, como um leitor seguro de QR, um aplicativo falso para uma agência de viagens real com ofertas de viagens e – implementando um truque bem conhecido – como um aplicativo para “ver quem visitou seu perfil. ”A aplicação maliciosa mais difundida é uma versão falsa de CleanDroid, anunciada pela primeira vez em um anúncio pago no Facebook, e vinculada ao aplicativo hospedado na Play Store. Esse aplicativo “milagroso” promete proteger o dispositivo da vítima contra vírus, otimizar o espaço da memória e salvar dados ao usar uma conexão 3G ou 4G. Na realidade, é um Trojan bancário.

BasBanke
O aplicativo malicioso do CleanDroid mostrado em um anúncio do Facebook. Fonte: Defesa Digital

O número de aplicativos e sites bancários direcionados é bastante significativo. Um número considerável de instituições financeiras brasileiras e outros sites populares, como Spotify, YouTube e Netflix, estão na lista de alvos. No entanto, quando se trata de roubar credenciais bancárias, os metadados, como o nome do dispositivo, o IMEI e o número de telefone usado pela vítima, são enviados para um C2 remoto. Por que prestar atenção especial a esses dados? Bem, os fraudadores precisam imitar o acesso legítimo à conta da vítima.

BasBanke
Metadados extraídos do telefone e enviados para o controle remoto C2.

Dependendo da versão do malware, encontramos alvos diferentes – e são todas instituições financeiras. Além disso, uma extensa lista de palavras-chave define quais outras marcas ou sites acionarão o procedimento de keylogging.

BasBankeOutra diferença é que BasBanke usa o Facebook e WhatsApp como um vetor de distribuição de massa. Além disso, parece ter gerado novas idéias entre as equipes de cibercriminosos brasileiros, mostrando como é fácil infectar um dispositivo Android com um aplicativo malicioso hospedado na loja oficial. Os atacantes por trás do BasBanke provaram que o recurso Play Protect não é suficiente para detê-los e bloquear efetivamente o malware

Alguns domínios afetados

Domínios
dodothebest.esy.es
zalthome.esy.es
servcobranca.in
ibercob.com.br
rootcenter.com.br
royhols.com
autopecasecreta.com.br
investcerto.site
bancobrasil.mobi
citiapp.mobi
ltau.mobi
moduloempresa.com
noisquevoa.mobi
pagseguro.mobi
aplicativo-sms.com

Proteja seus dados de forma efetiva

Com tantas ameaças que surgem diariamente, é fundamental a utilização de boas práticas de segurança além de softwares que aumentem a proteção às informações. Sugiro a leitura complementar do nosso e-book para que você e sua empresa estejam de fato protegidos contra ameças cibernéticas. Clique aqui e baixe gratuitamente.

 

 

[wp-review id=”14354″]

Checklist: Planejamento estratégico de TI e Segurança em 2025

Participe da comunidade de tecnologia da Tripla

Siga a Tripla nas redes

Quer saber como nossas soluções podem beneficiar sua empresa? Converse com nossos especialistas!

Participe da comunidade
de tecnologia da Tripla

Copyright © 2020 Tripla

Fale com um de nossos consultores