América Latina e Europa tornaram-se o alvo de duas campanhas de trojans bancários projetadas para infectar dispositivos Windows e Android com os malwares Grandoreiro e BTMOB, respectivamente. Segundo novas descobertas da WatchGuard e ESET, essas famílias de malware estão sendo usadas para atingir especificamente empresas na Espanha, Portugal e México, bem como usuários móveis no Brasil.
Grandoreiro: Ameaça Bancária em Evolução
O Grandoreiro é um trojan bancário conhecido por sua capacidade de interceptar transações financeiras e roubar credenciais. A nova campanha observa o malware sendo distribuído através de vetores que visam empresas na região. A presença no Brasil destaca a importância de monitorar ameaças bancárias que se adaptam ao contexto local, incluindo campanhas que podem usar lures em português ou serviços financeiros brasileiros.
Os atacantes utilizam técnicas de engenharia social sofisticadas para convencer as vítimas a baixar e executar os arquivos maliciosos. Uma vez instalado, o malware estabelece comunicação com servidores de comando e controle (C2) para receber instruções e exfiltrar dados sensíveis.
BTMOB: RAT como Serviço (MaaS)
O BTMOB é um trojan de acesso remoto (RAT) para Android que evoluiu da família SpySolr. Diferente dos trojans bancários clássicos focados apenas em dados financeiros, o BTMOB é projetado para vigilância completa e controle do dispositivo. Uma característica chave que o diferencia é seu empacotamento comercial como um produto MaaS (Malware-as-a-Service) com um construtor de APK integrado.
Os compradores podem gerar novos pacotes de payload maliciosos e personalizar iscas de phishing para países específicos sem escrever nenhum código, reduzindo drasticamente a barreira de entrada. O custo das licenças vitalícias é relatado em torno de 5.000 USD, um valor relativamente baixo comparado aos lucros potenciais de fraude que uma campanha bem-sucedida pode gerar.
Capacidades do BTMOB e Vetores de Entrega
O malware pode exfiltrar uma ampla gama de dados sensíveis, capturar telas, gravar atividades no dispositivo e dar aos operadores acesso remoto persistente ao telefone comprometido. As capacidades do malware rivalizam com as de RATs de nível desktop, tornando-o uma ameaça de alto impacto tanto para consumidores quanto para empresas.
O BTMOB depende fortemente de engenharia social e entrega liderada por phishing. Os operadores direcionam as vítimas para sites de phishing que imitam serviços de streaming, plataformas de criptomoedas ou outras marcas familiares, redirecionando-os para lojas de aplicativos falsas que empurram APKs maliciosos. Os atacantes adaptam as iscas para contextos locais, incluindo campanhas que imitam agências governamentais ou fiscais em países como a Argentina e outras regiões.
Exploração de Serviços de Acessibilidade
Uma vez que a vítima instala o APK, o malware solicita permissões extensas e abusa dos Serviços de Acessibilidade do Android para conceder a si mesmo privilégios adicionais silenciosamente. Uma vez instalado, o BTMOB estabelece canais de comando e controle para permitir a administração remota em tempo real do dispositivo.
Os operadores podem visualizar a tela, interagir com aplicativos, coletar credenciais através de sobreposições, interceptar mensagens e exfiltrar arquivos e dados do dispositivo. Ao usar os Serviços de Acessibilidade, o BTMOB pode manipular elementos de interface do usuário, aprovar permissões e executar ações sem interação do usuário, além de conduzir ataques de sobreposição contra aplicativos bancários e de pagamento para roubar credenciais e códigos de um só uso.
Medidas de Mitigação e Defesa
Os defensores são instados a impor políticas rigorosas de origem de aplicativos e aumentar a conscientização dos usuários. As organizações devem exigir instalação apenas de lojas oficiais, bloquear a instalação lateral (sideloading) sempre que possível e treinar os usuários para tratar links não solicitados e aplicativos de streaming ou criptomoeda "gratuitos" com ceticismo.
Soluções de segurança móvel com detecção comportamental e monitoramento de abuso de acessibilidade podem ajudar a identificar ameaças semelhantes ao BTMOB. Embora as empresas devam tratar smartphones como endpoints de alto valor, devem aplicar os mesmos logs, monitoramento estilo EDR e playbooks de resposta a incidentes usados para laptops e servidores.
Indicadores de Comprometimento (IoCs)
Os seguintes indicadores foram identificados e devem ser monitorados:
- Domínio: arbsniper[.]com
- Endereços IP: 74.125.202[.]103, 142.251.183[.]138, 173.194.193[.]138, 173.194.206[.]106, 178.156.177[.]192, 191.101.131[.]250, 195.160.221[.]203, 104.21.64[.]137, 173.194.194[.]94, 191.96.224[.]87, 191.96.225[.]241, 191.96.78[.]172, 191.96.78[.]28, 191.96.79[.]133, 191.96.79[.]179, 191.96.79[.]41, 192.178.209[.]95, 200.9.155[.]153, 74.125.132[.]95, 78.135.93[.]123, 79.133.57[.]141
- Assinaturas ESET: Android/Agent.FQK, Android/TrojanDropper.Agent.NES, Android/Spy.Agent.EIJ, Android/Spy.Agent.EIK, Android/TrojanDropper.Agent.NDK, Android/Spy.Spysolr.A, Android/Spy.Agent.EUG, Android/Spy.Agent.EWN, Android/Spy.Agent.FFE, Android/Spy.Agent.FFL
Nota: Endereços IP e domínios estão intencionalmente desformados (por exemplo, [.]) para evitar resolução acidental. A re-formatação deve ser feita apenas dentro de plataformas de inteligência de ameaças controladas como MISP, VirusTotal ou SIEM.
Impacto Regulatório e LGPD
No Brasil, a exposição de dados sensíveis através de malware como o BTMOB pode ter implicações sob a Lei Geral de Proteção de Dados (LGPD). As organizações devem estar preparadas para notificar incidentes que envolvam dados pessoais de clientes ou funcionários, garantindo que os processos de resposta a incidentes estejam alinhados com os requisitos regulatórios. A segurança móvel deve ser integrada à estratégia geral de governança de dados para mitigar riscos de vazamento.