ThiefBot

O ThiefBot é um Trojan bancário do Android, projetado principalmente para usuários localizados na Turquia. Essa ameaça de malware específica está sendo anunciada e vendida em fóruns de hackers clandestinos.

Para não parecer muito suspeito, o ThiefBot se disfarça como um aplicativo da Google Play Store que, após a instalação, começa a solicitar todos os tipos de permissões imediatamente. O ThiefBot deseja que os usuários possam ler, enviar e receber mensagens SMS, bem como acessar o armazenamento do dispositivo, contatos telefônicos e câmera. ThiefBot também deseja permissão para ativar o serviço de acessibilidade no dispositivo comprometido. Se for bem-sucedido, o ThiefBot enumera o dispositivo e baixa um arquivo zip chamado ' inj.zip ' de seu servidor Command-and-Control (C2).

ThiefBot Visa Diversos Aplicativos e Bancos Turcos

Para coletar credenciais, o ThiefBot usa ataques de sobreposição que coletam as credenciais bancárias e os detalhes do cartão de crédit/débito dos usuários e os enviam para a infraestrutura C2 por meio de solicitações POST. Um dos aplicativos direcionados pelo ThiefBot é para o Papara Payment Service, com sede na Turquia.

Além disso, o ThiefBot pode receber comandos para realizar várias ações ameaçadoras. Ele pode coletar os dados do aplicativo do dispositivo comprometido, lista de contatos e mensagens SMS. ThiefBot também pode funcionar como um bloqueio de tela, exibindo uma mensagem específica na tela do dispositivo. O ThiefBot pode se propagar enviando mensagens personalizadas enganosas aos contatos encontrados no dispositivo infectado, na tentativa de convencer os usuários desavisados a baixar e instalar o aplicativo ameaçador.

Para gerenciar a campanha e emitir comandos para vítimas específicas, os criadores do ThiefBot equiparam a sua ameaça de malware com um painel de administração.