Bizarro Banking Trojan

Descrição do Bizarro Banking Trojan

Um novo Trojan bancário  sofisticado para o Android está sendo usado contra usuários na Europa e na América do Sul. A ameaça foi batizada de Bizarro e pertence ao grupo de Trojans bancários brasileiros. Em vez de operar localmente como normalmente acontece, o Bizarro foi lançado globalmente com um foco maior em usuários localizados na Argentina, Chile, Alemanha, França, Itália, Espanha e Portugal.

O objetivo do agente da ameaça é obter credenciais de banco online dos dispositivos Android comprometidos, bem como sequestrar carteiras de Bitcoin. Mais de 70 bancos estão sendo visados pelo Bizarro Banking Trojan. Ele se espalha por meio de pacotes do Microsoft Installer que são entregues por meio de links em e-mails de spam ou descartados por aplicativos corrompidos.

Uma vez que o Bizarro tenha sido entregue no dispositivo Android do usuário, ele irá interromper todos os processos do navegador atualmente ativos. O objetivo é interromper quaisquer sessões em potencial com sites de bancos que possam estar em execução no momento. A vítima será então forçada a inserir as suas credenciais bancárias novamente, mas desta vez o malware tentará coletar informações. Para aumentar as suas chances de sucesso, o Bizarro executa as etapas adicionais de desabilitar o preenchimento automático e gerar pop-ups falsos para interceptar quaisquer códigos de autenticação de dois fatores. O Trojan bancário também vem com recursos de captura de tela. O aspecto mais ameaçador e o que diferencia o Bizarro da maioria dos outros Trojans bancários é o seu módulo backdoor completo.

Uma poderosa funcionalidade de backdoor

O módulo backdoor do Bizarro pode reconhecer e executar mais de 100 comandos diferentes. No entanto, o backdoor não é ativado imediatamente. Ele espera até que uma conexão com um sistema de banco on-line que corresponda a uma lista de strings codificadas seja detectada. Só depois disso os componentes principais do backdoor são ativados. Em geral, o ator da ameaça será capaz de obter dados sobre o sistema da vítima; pesquisar, exfiltrar ou baixar arquivos no sistema; assumir o controle sobre os dispositivos de entrada, como um mouse ou teclado; exibir mensagens de phishing, como janelas pop-up falsas.

A Bizarro pode baixar imagens JPEG contendo certos logotipos de bancos e instruções para as vítimas, imitando sistemas bancários online selecionados. As imagens são obtidas no servidor de Comando-e-Controle (C2, C&C) e armazenadas no diretório do perfil do usuário de forma criptografada. O malware também pode mostrar mensagens personalizadas. Ao fazer isso, o Bizarro pode congelar o dispositivo comprometido de forma eficaz. Enquanto a mensagem personalizada estiver sendo exibida, os usuários não poderão fechá-la ou mesmo abrir o Gerenciador de Tarefas. Ao mesmo tempo, a tela ficará acinzentada e a barra de tarefas oculta.

A operação do Bizarro parece ser bastante sofisticada, com o ator da ameaça empregando vários afiliados e mulas para executar ações diferentes. Isso pode variar entre ajuda simples com traduções a esquemas de lavagem de dinheiro ou facilitação de ataques iniciais contra os dispositivos dos usuários.