Elibomi Android Malware

Uma nova família de malware de phishing para Android foi identificada sendo usada em ataques ao vivo por cibercriminosos. A ameaça foi descoberta pelos pesquisadores que a batizaram de Elibomi. A ameaça depende de táticas de engenharia social e falsos aplicativos Android para coletar informações de suas vítimas e exfiltrá-las para servidores sob o controle de hackers.

O Primeiro Ataque do Elibomi

O primeiro ataque envolvendo a ameaça Elibomi ocorreu no final de 2020. Os atores da ameaça entregaram um falso aplicativo de 'Certificado de TI' aos dispositivos de suas vítimas. O aplicativo armado imitou um módulo de gerenciamento de certificado de TI que finge validar o dispositivo com um servidor inexistente. O aplicativo solicita o recebimento de permissões de SMS, bem como privilégios de administrador. O último provavelmente é abusado para dificultar qualquer tentativa de remoção. Enquanto as vítimas são apresentadas a uma 'varredura de segurança' fictícia, em segundo plano, o aplicativo coleta informações confidenciais, como e-mails, números de telefone, mensagens SMS/MMS armazenadas e muito mais.

O Segundo Ataque do Elibomi

A campanha mais recente que implantou a ameaça Elibomi teve como alvo os contribuintes indianos. Os hackers trocaram a identidade de seu aplicativo falso e agora ele era apresentado como um aplicativo de declaração de impostos. O ataque começa com a disseminação de mensagens SMS direcionadas, alegando ser do Departamento de Imposto de Renda da Índia. Para parecer mais legítimo, as mensagens de isca mencionam os nomes dos indivíduos visados. O objetivo nesta fase é fazer com que a vítima clique no link fornecido sob o falso pretexto de que houve uma atualização urgente de seus reembolsos de imposto de renda.

Os links corrompidos levam a uma página de phishing que novamente afirma pertencer ao Departamento de Imposto de Renda da Índia. A página de phishing direciona os usuários a baixar o aplicativo que carrega a ameaça Elibomi secretamente. O pacote do aplicativo ameaçador é nomeado seguindo o padrão - palavra aleatória.cadeia aleatória.imobile. Os pesquisadores da infosec descobriram várias versões do aplicativo falso a serem distribuídas, algumas exibindo apenas uma página de login falsa, enquanto outras também possuíam uma opção para registros falsos e solicitações de reembolso de impostos.

A ameaça Elibomi novamente captura dados confidenciais do dispositivo comprometido, bem como qualquer informação financeira que consegue obter de suas vítimas. Ele pode obter e-mails, números de telefone, mensagens SMS/MMS, dados financeiros e informações de identificação pessoal. Estranhamente, os dados coletados foram carregados para servidores que estavam abertos para a Internet, expondo as informações da vítima ao público de forma eficaz. Os hackers podem ter notado que seu erro foi descoberto e as informações coletadas não estão mais disponíveis.