[UPDATE] FantasyMW(v2) Android Banking Trojan ressurge com novos alvos
Em uma publicação anterior datalhamos o funcionamento e comportamento do FantasyMW, recentemente o Threat Actor realizou algumas alterações no modo de funcionamento e execução do overlay, abaixo, iremos detalhar as mudanças relevantes e outras funções importantes. Um dos principais pontos foram a quantidade de bancos alvos que cresceu de forma relevante, o operador agora é capaz de executar transações PIX usando seu ATS(Automatic Transfer System) em bancos como Nubank, Caixa, C6 Bank, Bradesco:
No geral, o processo de sobreposição representado pelo XML abaixo, usa LinearLayout com uma orientação horizontal que contém um único ImageView. O LinearLayout ocupa todo o espaço disponível na tela e possui um fundo de cor específica. No contexto do Android, a sobreposição de elementos em um LinearLayout
pode ser criada usando recursos como a propriedade android:layout_weight
. Essa propriedade é usada para definir a proporção de espaço que cada elemento filho deve ocupar dentro do layout:
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"
xmlns:app="http://schemas.android.com/apk/res-auto" android:orientation="horizontal"
android:id="@+id/my_layout" android:background="#232c3f" android:layout_width="match_parent"
android:layout_height="match_parent">
O ImageView exibe uma imagem específica (“caixaoverlay”) e se ajusta ao tamanho da imagem. O LinearLayout é um tipo de layout que organiza seus elementos filhos em uma única linha ou coluna. Os atributos definidos para este LinearLayout são:
xmlns:android
exmlns:app
: Declaram os namespaces para os atributos do Android e do aplicativo.android:orientation
: Define a orientação dos elementos filhos, neste caso, horizontal.android:id
: Atribui um ID único ao LinearLayout, identificado como "my_layout".android:background
: Define a cor de fundo do LinearLayout como "#232c3f".android:layout_width
eandroid:layout_height
: Especificam as dimensões do LinearLayout como "match_parent", o que significa que ele ocupará todo o espaço disponível.
Outro detalhe é método
addOverlay
que adiciona um layout de sobreposição (overlay) à janela do aplicativo usando oWindowManager
. O layout inflado é configurado com algumas propriedades e é exibido na tela. A maneira exata como o layout é exibido e as ações realizadas podem depender do restante da implementação da classe com os respectivos bancos alvos:
Abaixo, o vídeo de autoria do próprio threat actor exibindo as funções de overlay e solicitacao de permissão de acessibilidade, essa permissão é projetada para ajudar pessoas com deficiências a usar dispositivos Android, fornecendo recursos de acessibilidade. No entanto, em algumas situações, os malwares podem explorar essa permissão para obter acesso indevido e executar ações maliciosas:
Para dificultar a análise dinâmica, o Trojan passou a usar o “rootbeer”; lib crida para detecção de emulador, root e afins:
A chave PIX para subtrair o saldo da conta da vítima é enviado via API no fluxo de execução do ATS e em seguida setado como chave de destino:
Usando algumas plataformas de threat intelligence, conseguimos identificar também a origem do provedor usado para hospedar as campanhas para seus clientes, identificando alguns "ID`s" que pode indicar a quantidade atual de possíveis clientes(operadores que alugaram o Trojan), totalizando 13 clientes:
"647a4de0777946a8d00bb7dd"
"645afcdba65818aa562223de"
"6451788fa65818aa56222396"
"64524010a65818aa5622239a"
"6414ceed3bb9127f4753957a"
"645cfe21a65818aa562223ff"
"645aa018a65818aa562223d2"
"64594ee4a65818aa562223c2"
"6454764ca65818aa562223a8"
"6451651ca65818aa56222394"
"644c5501a65818aa5622238b"
"644beb87a65818aa5622238a"
"6474be23a65818aa562224c2"
Se voce foi vítima ou deseja alertar e/ou concientizar mais pessoas sobre os riscos e práticas que podem impedir que fraudes desse tipo ocorram com você, o Luiz Henrique(Cabuloso); Executivo e Especialista em Segurança tem um excelente vídeo com dicas importantes e de fácil entendimento para te ajudar: [Link]
Indicators of Compromise (IOCs)
Samples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api.casanossolar.shop
api.robodopix.online
api.theworldisfantasy.online
API
%domain%/devices/init
%domain%/devices/ping
Subdomains
apks.%domain%
api.%domain%
mail.%domain%
Windows Path's
C:/Users/nuke/Documents/FantasyMalware/
C:/Users/nuke/Documents/GoatMalware/goatMalware - PIX AUTOMATICO DEBUGER/
A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para info@opencti.net.br.