){kind=link}
Quatro famílias distintas de malware para Android foram identificadas pela equipe zLabs da Zimperium. RecruitRat, SaferRat, Astrinox e Massiv são campanhas ativas de roubo financeiro que cobrem bancos, corretoras de criptomoedas e redes sociais em escala global.
O relatório documenta um salto qualitativo nas técnicas usadas por esses trojans bancários. Isso porque as ferramentas de segurança tradicionais, baseadas em reconhecimento de assinaturas, praticamente não os detectam.
smart_display
Nossos vídeos em destaque
Quatro famílias, uma estratégia
Os nomes foram atribuídos pela própria Zimperium com base em características internas de cada campanha. O RecruitRat usa exclusivamente vagas de emprego falsas como isca. O SaferRat compartilha uma classe de código comum, com.example.safeservice, entre todas as suas amostras.
O Astrinox, que a empresa de segurança italiana Cleafy documenta sob o nome Mirax, foi identificado internamente há meses. O Massiv mantém a nomenclatura adotada pela ThreatFabric em pesquisas anteriores.
)
Apesar das diferenças operacionais, as quatro famílias seguem uma arquitetura de ataque semelhante. A estrutura inclui engenharia social para atrair a vítima, instalação furtiva em múltiplos estágios, abuso do Serviço de Acessibilidade do Android para ganhar controle do dispositivo e, por fim, coleta e exfiltração de credenciais financeiras.
)
A isca vem antes do malware
A primeira etapa de cada infecção é convencer o usuário a baixar um APK fora da Play Store. Basicamente, instalar um aplicativo manualmente, o que o Android chama de sideloading. Para isso, cada família usa uma fachada diferente.
O SaferRat se apresenta como portal de acesso gratuito a plataformas de streaming premium. O RecruitRat monta sites inteiros de recrutamento falsos, com visual profissional, que induzem candidatos a baixar um suposto aplicativo necessário para o processo seletivo.
)
O Astrinox imita a plataforma de contratação HireX no domínio xhire[.]cc. E vai além, o site detecta o sistema operacional do visitante e exibe conteúdos diferentes. Quem acessa via Android vê um botão de download de APK; quem acessa via iPhone vê uma réplica da App Store da Apple.
Nenhum indicador de comprometimento direcionado a iOS foi encontrado. Isso sugere que a página falsa para iPhone serve apenas para aumentar a credibilidade da operação.
)
O Massiv é o único cuja cadeia de distribuição não foi identificada. Os binários analisados não continham artefatos típicos que revelam como o malware chega até a vítima.
Instalação invisível e persistência agressiva
O Android moderno impõe restrições severas ao sideloading, exigindo confirmações explícitas do usuário em cada etapa. Os trojans contornam isso com uma cadeia de infecção em dois estágios.
)
O APK inicial que o usuário baixa é inofensivo por construção, uma vez que ele não pede permissões perigosas e não contém código malicioso visível. Ele funciona como um dropper, basicamente, um veículo de entrega.
O payload real, o malware propriamente dito, fica escondido dentro das pastas de recursos do app e é instalado silenciosamente via Session Install API. Essa é uma interface nativa do Android originalmente projetada para atualizações modulares de aplicativos.
O SaferRat disfarça essa etapa como uma atualização da Play Store. Ele exibe uma tela fake idêntica à da loja oficial para que os prompts de instalação gerados pelo sistema pareçam parte de uma manutenção rotineira.
)
Depois que o payload está ativo, o malware precisa do Serviço de Acessibilidade. Isso porque, no Android, esse serviço permite que um app monitore e interaja com a interface de outros aplicativos, algo essencial para os ataques de sobreposição e keylogging que vêm a seguir.
Para evitar que o usuário perceba o que está sendo autorizado, o malware joga uma camada opaca sobre a tela durante o processo. Depois, concede as demais permissões perigosas automaticamente, por trás do “blecaute visual”.
A persistência é garantida de formas distintas. O RecruitRat substitui seu próprio ícone por uma imagem completamente transparente, o app simplesmente desaparece da gaveta de aplicativos.
)
O SaferRat, por sua vez, monitora a navegação do usuário nas configurações do sistema e redireciona automaticamente sempre que detecta uma tentativa de acessar a página de gerenciamento de apps, bloqueando a desinstalação manual.
Detecção próxima de zero por design
As quatro famílias investem tanto em evasão quanto no próprio mecanismo de roubo. O RecruitRat e o SaferRat manipulam a estrutura interna do arquivo APK, que é basicamente um ZIP, de formas que o Android ignora. No entanto, eles travam ferramentas de análise como APKTool e JADX.
Isso inclui declarar métodos de compressão inválidos, injetar flags de criptografia falsas e usar nomes de arquivo anormalmente longos. O resultado é que scanners automatizados ficam incapazes de inspecionar o conteúdo, enquanto o sistema operacional roda o app normalmente.
)
O Astrinox vai além, porque o payload inteiro é entregue criptografado, montado a partir de fragmentos em Base64 e descriptografado na memória usando AES/GCM, um padrão de criptografia simétrica robusto, com uma chave predefinida. Só após esse processo o APK final é gravado na pasta de cache do dispositivo para execução. Nenhuma ferramenta de análise estática consegue examinar o malware antes que ele se monte em memória.
O Massiv adota uma abordagem diferente. Antes de fazer qualquer coisa, verifica se está sendo executado em um ambiente com acesso root ou se detecta aplicativos antivírus instalados. Se sim, encerra imediatamente a execução, o que evita a geração de comportamentos observáveis em ambientes de pesquisa (sandboxes) e mantém as taxas de detecção artificialmente baixas.
Como o dinheiro é roubado
Após a instalação, os trojans mapeiam os aplicativos financeiros instalados no dispositivo para definir quais sobreposições implantar. Uma sobreposição, nesse contexto, é uma tela falsa renderizada por cima de um aplicativo legítimo. Visualmente idêntica ao app real, mas controlada pelo malware.
)
Quando a vítima abre o app do banco, o trojan detecta o momento exato via Serviço de Acessibilidade e exibe a tela falsa antes que a interface real apareça. O usuário digita login e senha na sobreposição e entrega as credenciais diretamente ao atacante.
O RecruitRat recebe do servidor de comando e controle um arquivo compactado com páginas HTML fraudulentas e as renderiza localmente. Ele mira mais de 700 aplicativos. O Massiv trabalha com um conjunto de 78 sobreposições específicas para bancos e carteiras de criptomoedas, segmentadas por país de origem da vítima.
O SaferRat evita armazenar qualquer coisa localmente: carrega as páginas de phishing em tempo real a partir de servidores remotos via WebView, o que permite atualizar o conteúdo sem modificar o app instalado.
)
As quatro famílias também exibem telas de bloqueio falsas que replicam visualmente a tela nativa do Android para capturar o PIN ou padrão do dispositivo — uma credencial que dá ao atacante autoridade para alterar configurações biométricas e manter controle administrativo remoto.
Três das quatro famílias implementam keylogging via Serviço de Acessibilidade, capturando tudo que é digitado em tempo real, incluindo os códigos de autenticação em dois fatores (OTPs) enviados por SMS ou gerados por apps autenticadores. Isso neutraliza o 2FA como camada de proteção.
Todas as quatro exploram o MediaProjection, um recurso legítimo do Android para espelhamento de tela, para transmitir ao vivo o conteúdo do dispositivo para a infraestrutura do atacante. Isso inclui saldos, padrões de desbloqueio e qualquer informação exibida na tela que nunca passe pelo teclado.
)
Infraestrutura centralizada e modelo de serviço
A comunicação com os servidores de comando e controle usa HTTPS ou WebSocket, dependendo da família. O RecruitRat adiciona uma camada extra de criptografia RC4 sobre o HTTPS. O Astrinox usa WebSocket como um canal persistente e bidirecional de baixa latência.
Os painéis de controle são interfaces web administrativas que exibem distribuição geográfica das vítimas, status dos dispositivos e inventário de aplicativos financeiros instalados.
Essa centralização viabiliza o modelo malware como serviço em que afiliados sem conhecimento técnico profundo podem operar as campanhas pagando pelo acesso à infraestrutura, da mesma forma que uma empresa contrata um software por assinatura.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.