Visão geral da campanha

As ameaças à segurança cibernética estão evoluindo continuamente e ficando mais complicadas. Os golpistas começaram a utilizar software e tecnologia de código aberto para apoiar golpes, desenvolvendo-os e personalizando-os para atingir indivíduos em todo o país. Esses vigaristas com motivação financeira se concentram em aumentar suas margens de lucro ao não gastar dinheiro no lançamento de uma campanha fraudulenta. Anteriormente, em uma campanha semelhante, golpistas foram vistos explorando o SMSEye2, um aplicativo Android de código aberto que encaminha mensagens SMS para um bot do Telegram a partir de um dispositivo móvel específico.

‍

Durante uma investigação sobre uma campanha fraudulenta de roubo de SMS, a equipe TRIAD da CloudSEK descobriu mais um malware de código aberto para Android chamado Doge Rat (Trojan de acesso remoto), visando uma grande base de clientes em vários setores, especialmente bancos e entretenimento. Embora a maioria dessa campanha tenha como alvo usuários na Índia, ela pretende ter um alcance global. O malware está disfarçado como um aplicativo legítimo e está sendo distribuído por meio de mídias sociais e aplicativos de mensagens. Uma vez instalado, o malware pode roubar informações confidenciais do dispositivo da vítima, como contatos, mensagens e credenciais bancárias. O malware também pode ser usado para assumir o controle do dispositivo da vítima e realizar ações maliciosas, como enviar mensagens de spam, fazer pagamentos não autorizados, modificar arquivos, visualizar registros de chamadas e até mesmo tirar fotos pelas câmeras frontal e traseira do dispositivo infectado.

‍

É essencial exercer vigilância e tomar medidas preventivas para proteger nossos ativos digitais. Neste blog, vamos nos aprofundar na operação da campanha de malware DogeRAT e fornecer dicas sobre como se proteger dessa ameaça.

‍

Atribuição

Descobriu-se que o DogeRAT é anunciado pelo criador do malware em dois canais do Telegram. Na imagem abaixo, o autor do RAT ofereceu uma versão premium do DogeRAT que tem os recursos adicionais de fazer capturas de tela, roubar imagens da galeria, trabalhar como keylogger, roubar informações da área de transferência e tem um novo gerenciador de arquivos, além de mais persistência e conexões suaves do bot com o dispositivo infectado.

‍

Além disso, o autor do DogeRAT também criou um repositório GitHub onde o RAT é hospedado junto com um tutorial em vídeo e a seguinte lista de recursos/capacidades oferecidos pelo RAT.

Análise técnica

Configurar para DogeRat

Esse RAT Android baseado em Java usa um código muito simples do lado do servidor escrito em NodeJS para interagir com o Telegram Bot e um dispositivo infectado por meio de um soquete web. Nesse cenário, o Telegram Bot está funcionando como painel de comando e controle para o agente da ameaça que cria a configuração e implanta o DogeRAT.

‍

‍

O extenso tutorial do autor do malware no GitHub mostra que um bot do Telegram e uma plataforma gratuita de hospedagem de aplicativos NodeJS de código aberto são suficientes para lançar uma campanha fraudulenta usando o DogeRAT.

‍

Permissões exigidas pelo Trojan

Após seu lançamento inicial, o Trojan adquire várias permissões, incluindo e não se limitando a acesso a registros de chamadas, gravação de áudio e leitura de mensagens SMS, mídia, fotos etc.

‍

Invocando a visualização da Web

O malware exibe consistentemente o URL da entidade alvo em uma visualização da web dentro do aplicativo para criar a aparência de legitimidade. O URL pode ser alterado com base no alvo pelo agente da ameaça que opera o RAT.

‍

‍

‍

Comunicação com o servidor C2

Conforme mencionado anteriormente, o Telegram Bot atua como um painel C2 para o RAT e, após uma inspeção mais aprofundada do tráfego HTTP, descobrimos que o malware está se comunicando com o código do servidor que pode ser manipulado por meio de um bot do Telegram.

‍

‍

Descobrindo a campanha

Durante a triagem de rotina, os pesquisadores do CloudSEK se depararam com um ID de pacote malicioso “Willi.demônio”. Uma investigação mais aprofundada levou à descoberta de mais de mil aplicativos falsificados projetados para aplicativos Android em vários setores, incluindo bancos, jogos e entretenimento. Essa descoberta levou à identificação da campanha de malware DogeRAT.

Conclusão

Esta campanha serve como um lembrete gritante da motivação financeira que leva os golpistas a desenvolverem continuamente suas táticas. Eles não se limitam apenas a criar sites de phishing, mas também a distribuir RATs modificados ou aplicativos maliciosos reutilizados para executar campanhas fraudulentas de baixo custo e fáceis de configurar, mas que geram altos retornos. Portanto, é importante estar ciente das ameaças mais recentes e tomar medidas para se proteger. Aqui estão algumas dicas:

• Tenha cuidado com os links em que você clica e quais anexos você abre - Se você receber um link ou anexo de alguém que não conhece, não clique nele nem o abra.
• Mantenha seu software atualizado - As atualizações de software geralmente incluem patches de segurança que podem ajudar a proteger seu dispositivo contra malware.
• Use uma solução de segurança - Uma boa solução de segurança pode ajudar a proteger seu dispositivo contra malware e outras ameaças.‍
• Esteja ciente dos sinais de uma fraude - Os golpistas costumam usar técnicas como urgência, medo e ganância para enganar as vítimas. Se você não tiver certeza sobre uma mensagem ou oferta, é melhor tomar cuidado e não clicar em nenhum link ou abrir nenhum anexo.‍
• Informe-se sobre malware - Quanto mais você souber sobre malware, melhor equipado estará para detectá-lo e se proteger dele. Há muitos recursos disponíveis on-line que podem ajudar você a aprender mais sobre malware.

Indicadores de compromisso (IOCs)

‍

‍