17 abr Quatro trojans bancários para Android miram mais de 800 apps financeiros, alerta pesquisa

Quatro famílias distintas de malware para Android foram identificadas pela equipe zLabs da Zimperium. RecruitRat, SaferRat, Astrinox e Massiv são campanhas ativas de roubo financeiro que cobrem bancos, corretoras de criptomoedas e redes sociais em escala global.

O relatório documenta um salto qualitativo nas técnicas usadas por esses trojans bancários. Isso porque as ferramentas de segurança tradicionais, baseadas em reconhecimento de assinaturas, praticamente não os detectam.

Sites usados pelo SaferRat e pelo Astrinox para distribuir o malware: à esquerda, portal falso de streaming premium; ao centro, página de recrutamento fraudulenta que instrui a vítima a baixar um APK; à direita, guia de instalação passo a passo que orienta o usuário a ignorar os alertas de segurança do Android. Imagem: Zimperium.

Quatro famílias, uma estratégia

Os nomes foram atribuídos pela própria Zimperium com base em características internas de cada campanha. O RecruitRat usa exclusivamente vagas de emprego falsas como isca. O SaferRat compartilha uma classe de código comum, com.example.safeservice, entre todas as suas amostras.

O Astrinox, que a empresa de segurança italiana Cleafy documenta sob o nome Mirax, foi identificado internamente há meses. O Massiv mantém a nomenclatura adotada pela ThreatFabric em pesquisas anteriores.

Mapa de aplicações direcionadas do RecruitRat. Imagem: Zimperium.

Apesar das diferenças operacionais, as quatro famílias seguem uma arquitetura de ataque semelhante. A estrutura inclui engenharia social para atrair a vítima, instalação furtiva em múltiplos estágios, abuso do Serviço de Acessibilidade do Android para ganhar controle do dispositivo e, por fim, coleta e exfiltração de credenciais financeiras.

Mapa de aplicações direcionadas da Massiv. Imagem: Zimperium.

A isca vem antes do malware

A primeira etapa de cada infecção é convencer o usuário a baixar um APK fora da Play Store. Basicamente, instalar um aplicativo manualmente, o que o Android chama de sideloading. Para isso, cada família usa uma fachada diferente.

O SaferRat se apresenta como portal de acesso gratuito a plataformas de streaming premium. O RecruitRat monta sites inteiros de recrutamento falsos, com visual profissional, que induzem candidatos a baixar um suposto aplicativo necessário para o processo seletivo.

Exemplos de iscas usadas pelo RecruitRat: apps falsos de streaming e portais de entrevista fraudulentos — como “Avada Programmer” e “SleepWell” — que pedem o download do aplicativo ReadySetInterview como condição para avançar no suposto processo seletivo. Imagem: Zimperium.

O Astrinox imita a plataforma de contratação HireX no domínio xhire[.]cc. E vai além, o site detecta o sistema operacional do visitante e exibe conteúdos diferentes. Quem acessa via Android vê um botão de download de APK; quem acessa via iPhone vê uma réplica da App Store da Apple.

Nenhum indicador de comprometimento direcionado a iOS foi encontrado. Isso sugere que a página falsa para iPhone serve apenas para aumentar a credibilidade da operação.

O Astrinox detecta o sistema operacional do visitante e adapta o site de phishing: usuários de iPhone veem uma réplica da App Store da Apple, com página falsa do Indeed Job Search, para aumentar a credibilidade da operação. Imagem: Zimperium.

O Massiv é o único cuja cadeia de distribuição não foi identificada. Os binários analisados não continham artefatos típicos que revelam como o malware chega até a vítima.

Instalação invisível e persistência agressiva

O Android moderno impõe restrições severas ao sideloading, exigindo confirmações explícitas do usuário em cada etapa. Os trojans contornam isso com uma cadeia de infecção em dois estágios.

Sequência de telas que o usuário enfrenta ao tentar instalar um APK fora da Play Store: o Android alerta que a fonte não é confiável, exige que a permissão seja habilitada manualmente nas configurações e apresenta uma confirmação final antes da instalação. Imagem: Zimperium.

O APK inicial que o usuário baixa é inofensivo por construção, uma vez que ele não pede permissões perigosas e não contém código malicioso visível. Ele funciona como um dropper, basicamente, um veículo de entrega.

O payload real, o malware propriamente dito, fica escondido dentro das pastas de recursos do app e é instalado silenciosamente via Session Install API. Essa é uma interface nativa do Android originalmente projetada para atualizações modulares de aplicativos.

O SaferRat disfarça essa etapa como uma atualização da Play Store. Ele exibe uma tela fake idêntica à da loja oficial para que os prompts de instalação gerados pelo sistema pareçam parte de uma manutenção rotineira.

Após a instalação do payload, o malware solicita acesso ao Serviço de Acessibilidade do Android — recurso que permite a um app monitorar e interagir com a interface de outros aplicativos. Imagem: Zimperium.

Depois que o payload está ativo, o malware precisa do Serviço de Acessibilidade. Isso porque, no Android, esse serviço permite que um app monitore e interaja com a interface de outros aplicativos, algo essencial para os ataques de sobreposição e keylogging que vêm a seguir.

Para evitar que o usuário perceba o que está sendo autorizado, o malware joga uma camada opaca sobre a tela durante o processo. Depois, concede as demais permissões perigosas automaticamente, por trás do “blecaute visual”.

A persistência é garantida de formas distintas. O RecruitRat substitui seu próprio ícone por uma imagem completamente transparente, o app simplesmente desaparece da gaveta de aplicativos. 

O SaferRat disfarça a instalação do payload malicioso como uma atualização legítima da Play Store. A interface replica fielmente a loja oficial do Android para reduzir a desconfiança da vítima durante a etapa mais crítica da infecção. Imagem: Zimperium.

O SaferRat, por sua vez, monitora a navegação do usuário nas configurações do sistema e redireciona automaticamente sempre que detecta uma tentativa de acessar a página de gerenciamento de apps, bloqueando a desinstalação manual.

Detecção próxima de zero por design

As quatro famílias investem tanto em evasão quanto no próprio mecanismo de roubo. O RecruitRat e o SaferRat manipulam a estrutura interna do arquivo APK, que é basicamente um ZIP, de formas que o Android ignora. No entanto, eles travam ferramentas de análise como APKTool e JADX.

Isso inclui declarar métodos de compressão inválidos, injetar flags de criptografia falsas e usar nomes de arquivo anormalmente longos. O resultado é que scanners automatizados ficam incapazes de inspecionar o conteúdo, enquanto o sistema operacional roda o app normalmente.

O Massiv e o Astrinox exibem telas de atualização do sistema em tela cheia para bloquear o acesso da vítima ao dispositivo enquanto executam operações em segundo plano — como cliques remotos e modificações de configuração — sem que o usuário possa intervir. Imagem: Zimperium.

O Astrinox vai além, porque o payload inteiro é entregue criptografado, montado a partir de fragmentos em Base64 e descriptografado na memória usando AES/GCM, um padrão de criptografia simétrica robusto, com uma chave predefinida. Só após esse processo o APK final é gravado na pasta de cache do dispositivo para execução. Nenhuma ferramenta de análise estática consegue examinar o malware antes que ele se monte em memória.

O Massiv adota uma abordagem diferente. Antes de fazer qualquer coisa, verifica se está sendo executado em um ambiente com acesso root ou se detecta aplicativos antivírus instalados. Se sim, encerra imediatamente a execução, o que evita a geração de comportamentos observáveis em ambientes de pesquisa (sandboxes) e mantém as taxas de detecção artificialmente baixas.

Como o dinheiro é roubado

Após a instalação, os trojans mapeiam os aplicativos financeiros instalados no dispositivo para definir quais sobreposições implantar. Uma sobreposição, nesse contexto, é uma tela falsa renderizada por cima de um aplicativo legítimo. Visualmente idêntica ao app real, mas controlada pelo malware.

As quatro famílias exibem réplicas da tela de bloqueio nativa do Android para capturar o PIN, padrão ou senha do dispositivo. Com essa credencial, os atacantes podem autorizar alterações biométricas e manter controle administrativo remoto mesmo após a vítima perceber a infecção. Imagem: Zimperium.

Quando a vítima abre o app do banco, o trojan detecta o momento exato via Serviço de Acessibilidade e exibe a tela falsa antes que a interface real apareça. O usuário digita login e senha na sobreposição e entrega as credenciais diretamente ao atacante.

O RecruitRat recebe do servidor de comando e controle um arquivo compactado com páginas HTML fraudulentas e as renderiza localmente. Ele mira mais de 700 aplicativos. O Massiv trabalha com um conjunto de 78 sobreposições específicas para bancos e carteiras de criptomoedas, segmentadas por país de origem da vítima.

O SaferRat evita armazenar qualquer coisa localmente: carrega as páginas de phishing em tempo real a partir de servidores remotos via WebView, o que permite atualizar o conteúdo sem modificar o app instalado.

Exemplos de telas falsas sobrepostas aos aplicativos bancários legítimos. O malware detecta quando a vítima abre um app financeiro e renderiza imediatamente uma interface de login fraudulenta. Imagem: Zimperium.

As quatro famílias também exibem telas de bloqueio falsas que replicam visualmente a tela nativa do Android para capturar o PIN ou padrão do dispositivo — uma credencial que dá ao atacante autoridade para alterar configurações biométricas e manter controle administrativo remoto.

Três das quatro famílias implementam keylogging via Serviço de Acessibilidade, capturando tudo que é digitado em tempo real, incluindo os códigos de autenticação em dois fatores (OTPs) enviados por SMS ou gerados por apps autenticadores. Isso neutraliza o 2FA como camada de proteção.

Todas as quatro exploram o MediaProjection, um recurso legítimo do Android para espelhamento de tela, para transmitir ao vivo o conteúdo do dispositivo para a infraestrutura do atacante. Isso inclui saldos, padrões de desbloqueio e qualquer informação exibida na tela que nunca passe pelo teclado.

Infraestrutura centralizada e modelo de serviço

A comunicação com os servidores de comando e controle usa HTTPS ou WebSocket, dependendo da família. O RecruitRat adiciona uma camada extra de criptografia RC4 sobre o HTTPS. O Astrinox usa WebSocket como um canal persistente e bidirecional de baixa latência.

Os painéis de controle são interfaces web administrativas que exibem distribuição geográfica das vítimas, status dos dispositivos e inventário de aplicativos financeiros instalados.

Essa centralização viabiliza o modelo malware como serviço em que afiliados sem conhecimento técnico profundo podem operar as campanhas pagando pelo acesso à infraestrutura, da mesma forma que uma empresa contrata um software por assinatura.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.