top of page
wp12067716-dark-fantasy-forest-wallpapers.jpg

GoatRat ressurge com um novo nome: FantasyMW Android Banking Trojan!

 

Tendo incorporado uma estrutura de Sistema de Transferência Automática (ATS) em sua última versão, permitindo que o operador da fraude realize transferências de dinheiro(PIX) não autorizadas em dispositivos infectados, Identificamos uma nova versão lançada pelo threat actor conhecido como "sickoKL" nessa última semana (10/04/2023).

fantasy.png
painel.png

Painel de gerenciamento e controle e gerencimaneto de chaves PIX para inseridas no ATS

Na mesma tendência de outros malwares com as mesmas características, o FantasyMW utiliza o serviço de Acessibilidade para implementar uma estrutura Automatic Transfer System (ATS), e atualmente, esse malware tem como alvo dois bancos brasileiros: Nubank e Banco Inter:

ana.png
func.png

Uma das características do GoatRAT(agora FantasyMW) e de outros malwares bancários para Android é de que eles usam a permissão de acessibilidade para obter acesso ao conteúdo do dispositivo sem interação da vítima . Especificamente, ele usa essa permissão para se auto-instalar e contornar os recursos de segurança do Android. Ele também pode usar essa permissão para interceptar mensagens de texto e chamadas telefônicas, bem como para roubar informações pessoais do dispositivo, como senhas e informações bancárias, no trecho abaixo, o FantasyMW solicitando a permissao de acessibilidade para a vítima:

cod.png

FantasyMW solicitando permissão de sobreposição de tela, e em seguida a permissão de acessibilidade

Em seguida, o FantasyMW exibe uma animação, posterior à permissão de acessibilidade e sobreposição de tela ser concedida:

1_jf01VnHx3u8Rj0eGoBlLsw.gif

Identificando o aplicativo bancário alvo, o malware cria uma janela de sobreposição bancária que aparece a frente do aplicativo bancário, ocultando suas ações maliciosas no dispositivo da vítima. As figuras abaixo ilustram como funciona o fluxo de solicitações de permissões, seguido da sobreposição de tela:

droid.png
droid2.png
Nu.png

No final da fraude, ométodo “m5357removeOverlay$lambda24” é usado para remover todas as sobreposições que foram adicionadas anteriormente à exibição. Ele recebe um parâmetro “this$0”, o método itera sobre um conjunto de visualizações “overlayViews” pertencentes ao objeto “Nubank” e tenta remover cada uma delas:

cod2.png

Abaixo, o vídeo usado como apresentação do malware em um forum conhecido por atividades ilegais, venda de malwares e afins, visando demostrar algumas funcionalidades como keylogger e sobreposição de tela:

1_53df_WuW9cffyKfONXpeiQ.gif
1__ZxfF5oyQR_DNJbkXBTRDA.gif

Conclusão: Nos últimos anos, houve um aumento recente no uso de trojans bancários para Android que visam especificamente os bancos brasileiros. Além disso, observamos que o FantasyMW ainda não possui nenhum outro recurso de Trojans bancários conhecidos mundialmente, usando apenas o serviço de acessibilidade para executar a estrutura ATS, que por si só é suficientemente adequada para realizar transações financeiras fraudulentas.

Indicators of Compromise (IOCs):

 

(APK) = 14a2b62edff336d009a5da9223bf21f2
(APK) = 7086eac64c5ba99c1408d6d93f7ffa8c
(URL) hxxps://klremota.casanossolar.shop
(URL) hxxps://apks.casanossolar.shop
(URL) hxxps://api.casanossolar.shop
(URL) hxxps://casanossolar.shop

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para [email protected]. Se tem interesse em contribuir com o projeto, saiba como em: https://www.opencti.net.br/contribuicao

Apoiadores

images-removebg-preview.png
datasec.png

Faça sua contribuição:

cofre.png

© OpenCTI.BR 

Siga nas redes sociais:

github.png
twitter-social-logotype.png
linkedin.png

Maiores informações:

 

[email protected]

bottom of page