Wroba Trojan

O Wroba Trojan é uma ameaça para os telefones moveis que foi implantada contra usuários no Japão, Coréia e outros lugares na região desde pelo menos 2013. No entanto, os hackers por trás dessa ameaça de malware agora o equiparam com várias técnicas modernas e o lançaram contra usuários nos EUA pela primeira vez, exibindo uma expansão significativa de seu alcance.

As versões iniciais do Wroba Trojan foram flagradas fingindo ser um aplicativo legítimo da Google Play Store, enquanto as iterações posteriores abusavam das configurações de DNS de roteadores comprometidos para enviar os usuários a sites corrompidos. O vetor de distribuição mais recente do Wroba Trojan é por meio do chamado 'smishing' - SMS de phishing. Os hackers enviam avisos de entrega de pacotes falsificados que foram projetados para imitar as mensagens provenientes de serviços de entrega de pacotes legítimos específicos para cada país atacado.

O Wroba Trojan Ainda está sendo Desenvolvido pelos Hackers

O Wroba Trojan pode afetar dispositivos iOS e Android, mas seus objetivos são diferentes para os dois ambientes móveis. Se os usuários do Android clicarem no link da notificação de entrega de pacote falsa, eles serão levados a um site corrompido que tenta induzi-los a baixar o malware que, desta vez, está disfarçado como uma suposta atualização do navegador. O site afirma que o navegador do dispositivo comprometido está desatualizado e deve ser atualizado imediatamente. Este método de distribuição, no entanto, não funciona em dispositivos iOS. Em vez disso, o Wroba redireciona os usuários para uma página de phishing que é criada para parecer tão semelhante a uma página de login da Apple quanto em uma possível tentativa de coletar suas credenciais de ID da Apple.

Se o Wroba Trojan conseguir se infiltrar em um dispositivo com sucesso, ele pode executar uma ampla gama de funções prejudiciais. O Trojan pode acessar as listas de contato do usuário, enumerar pacotes instalados, sobrepor páginas de login para várias instituições bancárias com páginas de phishing para coletar credenciais de contas, obter detalhes de transações financeiras e tentar se espalhar ainda mais enviando mensagens SMS falsas.

Embora o Wromba Trojan tenha a funcionalidade de um malware móvel típico em seu núcleo, suas versões mais recentes mostram que os hackers por trás dele ainda estão atualizando-o. Por exemplo, o Wroba mostra algumas técnicas raramente vistas, como o uso do formato MessagePack e criptografia DES para ocultar o tráfego de comunicação para sua infraestrutura de comando e controle (C2, C&C). Uma das últimas tendências entre os cibercriminosos é usar serviços sociais legítimos como locais de descarte para dados codificados. O Wroba Trojan está acompanhando e também pode modificar sua lista de servidores C2 de acordo com as informações obtidas de contas de mídia social configuradas pelos hackers.