Categoria: Inteligência do adversárioRegião: ÍndiaIndústria: Finanças e bancosRegião: A1

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Uma nova campanha de phishing tem como alvo consumidores bancários indianos.
• O site de phishing coleta as credenciais bancárias e as PII das vítimas, após as quais um malware de encaminhamento de SMS do Android é baixado para seus dispositivos.

• As credenciais bancárias e as PII podem ser usadas para lançar ataques de engenharia social e criar contas bancárias falsas.
• O malware permite que os agentes de ameaças realizem transações não autorizadas acessando OTPs ou códigos de verificação por meio de encaminhamento de SMS.

• Realize campanhas de conscientização e programas de treinamento para clientes e funcionários.
• Monitore e remova domínios falsos.

CloudSEKA equipe TRIAD da descobriu um trojan bancário, com modus operandi improvisado, em que o agente da ameaça ou um grupo de agentes da ameaça hospeda um portal de reclamações on-line simples com domínios como reclamação on-line [.] com ou reclamação do cliente [.] com e segmente clientes bancários indianos. Nossa equipe de pesquisa encontrou vários domínios com base no mesmo modus operandi e com modelos idênticos. A tabela abaixo lista os domínios descobertos durante o curso de nossa investigação. DomínioRegistro WHOISaccountsecureverify [.] com (online-complaint.accountsecureverify.com) Data de criação: 2022-01-31 Data de atualização: 2022-01-31 Rua do registrante: 2155 E Warner Rd Cidade registrante: Tempe Estado/província do registrante: Arizona Código postal do registrante: 85284 País do registrante: USSecureAccounts [.] em Data de criação: 2022-02-05 Data de atualização: 2022-02-10 Estado/província do registrante: Bihar País do registrante: InOnline-Complaint [.] comData de criação: 2022-04-27 Data de atualização: 2022-05-11 Rua do registrante: 2155 E Warner Rd Cidade registrante: Tempe Estado/província do registrante: Arizona Código postal do registrante: 85284customer-complaint [.] comData de criação: 2022-05-25 Data de atualização: 2022-05-29 Cidade registrante: ALLA HABAD Nome do registrante: E-mail do registrante: Telefone do registrante: Rua do Registrante EC 128 País do registrante: IN Estado/província do registrante Uttar Pradesh Código Postal do Registrante: 211008

Modus Operandi

• As vítimas preenchem informações bancárias confidenciais, como número do cartão, número CVV e data de validade, no portal de reclamações falsas.
• Depois que as informações bancárias são exploradas, um aplicativo malicioso de suporte ao cliente, Customer_Sopport_Srvice.apk, é baixado para os dispositivos das vítimas.
• Nenhum logotipo ou nome dos bancos indianos foi usado nesses sites de phishing, a fim de evitar suspeitas e detecções. Além disso, o aplicativo malicioso de suporte ao cliente não está hospedado na Google Play Store ou em nenhuma das lojas de aplicativos de terceiros.
• O aplicativo malicioso é usado para enviar todos os SMS recebidos para o servidor C2 (Comando e Controle), que é reclamação on-line [.] com nesse caso.

[caption id="attachment_19679" align="aligncenter” width="1195"] Site de phishing do qual o malware é baixado [/caption]

Análise e atribuição

Características do malware

Funcionalidade

Após uma análise mais aprofundada, descobriu-se que o principal papel do trojan bancário é encaminhar todos os SMS dos dispositivos das vítimas para o servidor C2.

Mecanismo de entrega

• Os agentes de ameaças induzem a vítima a enviar suas reclamações sobre “falha na transação” nos domínios reclamação on-line [.] com e reclamação do cliente [.] com, criado em abril de 2022 e maio de 2022, respectivamente.
• Os domínios mencionados acima são usados pelos agentes de ameaças para hospedar sites falsos de phishing de reclamações de atendimento ao cliente.
• As vítimas precisam inserir o tipo de reclamação junto com outras informações bancárias confidenciais, como número do cartão, número CVV e data de validade, para obter um “reembolso” pela “transação falhada”.
• Ao enviar os detalhes mencionados acima, o aplicativo malicioso,”Customer_Sopport_Service.apk”, é baixado para os dispositivos das vítimas.

Permissões e execução

• A equipe de pesquisa da CloudSEK analisou o aplicativo malicioso em Seja Vigil, o primeiro mecanismo de busca de segurança do mundo para aplicativos móveis. O relatório da BeVigil para o aplicativo malicioso pode ser encontrado aqui.
• As conclusões da BeVigil sobre o aplicativo podem ser resumidas da seguinte forma:
• O aplicativo malicioso pede permissão para lendo, enviando, e recebendo SMS após a primeira instalação.
• O trojan também pode ler números de contato no dispositivo da vítima.

[caption id="attachment_19680" align="aligncenter” width="694"] Permissões do aplicativo malicioso [/caption]

Análise do código-fonte

• Depois que o malware for instalado nos dispositivos das vítimas, ele verificará RECEBE_SMS, LEIA_SMS, e ENVIAR_SMS permissões.

[caption id="attachment_19681" align="aligncenter” width="1101"] Permissão de verificação de malware para receber, ler e enviar SMS [/caption]

• O Auxiliar de inicialização automática () O método invoca o malware para ser executado em segundo plano após a inicialização/instalação nos dispositivos. O código a seguir mostra que, após a inicialização, o malware pode funcionar em dispositivos de vários fabricantes.

[caption id="attachment_19682" align="aligncenter” width="1373"] Trecho de código da função autoStartHelper () [/caption]

• O sMensagem final () O método envia SMS dos dispositivos da vítima para o servidor C2 (Comando e Controle).

[caption id="attachment_19683" align="aligncenter” width="1521"] Trecho de código da função sendMessage () [/caption]

• A interface Minha API () ajuda o malware a roubar o SMS dos dispositivos da vítima para a API de endpoint do servidor C2 (Comando e Controle).

[caption id="attachment_19684" align="aligncenter” width="727"] Trecho de código da interface myAPI () [/caption]

Informações da OSINT

• Ao executar o Open Source Intelligence (OSINT) no endereço IP 148,72,158,61 do servidor web do domínio reclamação on-line [.] com, que também é o servidor C2 (Comando e Controle) do aplicativo malicioso, nossa equipe de pesquisa descobriu outros sites que realizam golpes semelhantes. A tabela abaixo lista os domínios semelhantes descobertos durante o curso de nossa investigação.

Domínios similaresreclamação on-line [.] accountsecureverify [.] comsecureaccounts [.] incustomer-complaint [.] com

• Com base em registros passivos, o endereço IP mencionado acima também estava sendo contatado por outros tipos semelhantes de trojans bancários desde março de 2022.

[caption id="attachment_19685" align="aligncenter” width="813"] Trojans bancários que contataram o endereço IP fornecido [/caption]

Impacto e mitigação

ImpactoMitigação

• Os agentes de ameaças obterão informações bancárias confidenciais que podem levar a perdas financeiras.
• O malware ajudará os agentes da ameaça a obter outras informações confidenciais, como códigos de verificação OTP ou 2FA, por meio do encaminhamento de SMS.
• As informações confidenciais coletadas podem ser usadas por agentes de ameaças para lançar ataques bem-sucedidos de engenharia social contra a vítima.
• Esse tipo de campanha falsificada também tem um impacto negativo no valor e na reputação de qualquer entidade ou organização alvo.

• Crie mais campanhas de conscientização e programas de treinamento para clientes e funcionários internos, educando-os sobre essas campanhas recém-direcionadas.
• Monitore domínios falsos de forma proativa e remova esses domínios suspeitos antes que causem mais danos.
• Eduque os consumidores sobre o uso de qualquer produto ou serviço fornecido por qualquer entidade específica.

Indicadores de compromisso (IOCs)

Arquivos obtidosCustomer_Sopport_Service.apkSHA25653c185090a170800ceb525ccbb1b798603428766URLhxxp: //online-complaint [.] com/controllerhxxp: //online-complaint [.] com/controller/apihxxp: //online-complaint [.] com/controller/api/commonIPv4148,72,158,61Domínioreclamação on-line [.] accountsecureverify [.] comsecureaccounts [.] incustomer-complaint [.] com

Referências

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol

Apêndice

[caption id="attachment_19686" align="aligncenter” width="662"] Captura de tela do conteúdo de um diretório interno do online-complaint [.] com [/caption] [caption id="attachment_19687" align="aligncenter” width="1067"] Captura de tela do conteúdo de um diretório interno do online-complaint [.] com [/caption] [caption id="attachment_19688" align="aligncenter” width="683"] Captura de tela do conteúdo de um diretório interno do online-complaint [.] com [/caption] [caption id="attachment_19689" align="aligncenter” width="1195"] Captura de tela da mensagem exibida ao enviar uma reclamação no online-complaint [.] com [/caption]