Open in app

Sign up

Sign in

Write

Sign up

Sign in

[UPDATE] FantasyMW(v2) Android Banking Trojan ressurge com novos alvos

movq %rax,%rax
OpenCTI.BR
Published in
4 min readJun 10, 2023

--

Em uma publicação anterior datalhamos o funcionamento e comportamento do FantasyMW, recentemente o Threat Actor realizou algumas alterações no modo de funcionamento e execução do overlay, abaixo, iremos detalhar as mudanças relevantes e outras funções importantes. Um dos principais pontos foram a quantidade de bancos alvos que cresceu de forma relevante, o operador agora é capaz de executar transações PIX usando seu ATS(Automatic Transfer System) em bancos como Nubank, Caixa, C6 Bank, Bradesco:

No geral, o processo de sobreposição representado pelo XML abaixo, usa LinearLayout com uma orientação horizontal que contém um único ImageView. O LinearLayout ocupa todo o espaço disponível na tela e possui um fundo de cor específica. No contexto do Android, a sobreposição de elementos em um LinearLayout pode ser criada usando recursos como a propriedade android:layout_weight. Essa propriedade é usada para definir a proporção de espaço que cada elemento filho deve ocupar dentro do layout:

<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" 
xmlns:app="http://schemas.android.com/apk/res-auto" android:orientation="horizontal"
 android:id="@+id/my_layout" android:background="#232c3f" android:layout_width="match_parent" 
android:layout_height="match_parent">

O ImageView exibe uma imagem específica (“caixaoverlay”) e se ajusta ao tamanho da imagem. O LinearLayout é um tipo de layout que organiza seus elementos filhos em uma única linha ou coluna. Os atributos definidos para este LinearLayout são:

  • xmlns:android e xmlns:app: Declaram os namespaces para os atributos do Android e do aplicativo.
  • android:orientation: Define a orientação dos elementos filhos, neste caso, horizontal.
  • android:id: Atribui um ID único ao LinearLayout, identificado como "my_layout".
  • android:background: Define a cor de fundo do LinearLayout como "#232c3f".
  • android:layout_width e android:layout_height: Especificam as dimensões do LinearLayout como "match_parent", o que significa que ele ocupará todo o espaço disponível.

Outro detalhe é método addOverlay que adiciona um layout de sobreposição (overlay) à janela do aplicativo usando o WindowManager. O layout inflado é configurado com algumas propriedades e é exibido na tela. A maneira exata como o layout é exibido e as ações realizadas podem depender do restante da implementação da classe com os respectivos bancos alvos:

Abaixo, o vídeo de autoria do próprio threat actor exibindo as funções de overlay e solicitacao de permissão de acessibilidade, essa permissão é projetada para ajudar pessoas com deficiências a usar dispositivos Android, fornecendo recursos de acessibilidade. No entanto, em algumas situações, os malwares podem explorar essa permissão para obter acesso indevido e executar ações maliciosas:

Para dificultar a análise dinâmica, o Trojan passou a usar o “rootbeer”; lib crida para detecção de emulador, root e afins:

GitHub - scottyab/rootbeer: Simple to use root checking Android library and sample app

A tasty root checker library and sample app. We've scoured the internets for different methods of answering that age…

github.com

A chave PIX para subtrair o saldo da conta da vítima é enviado via API no fluxo de execução do ATS e em seguida setado como chave de destino:

Usando algumas plataformas de threat intelligence, conseguimos identificar também a origem do provedor usado para hospedar as campanhas para seus clientes, identificando alguns "ID`s" que pode indicar a quantidade atual de possíveis clientes(operadores que alugaram o Trojan), totalizando 13 clientes:

"647a4de0777946a8d00bb7dd"
"645afcdba65818aa562223de"
"6451788fa65818aa56222396"
"64524010a65818aa5622239a"
"6414ceed3bb9127f4753957a"
"645cfe21a65818aa562223ff"
"645aa018a65818aa562223d2"
"64594ee4a65818aa562223c2"
"6454764ca65818aa562223a8"
"6451651ca65818aa56222394"
"644c5501a65818aa5622238b"
"644beb87a65818aa5622238a"
"6474be23a65818aa562224c2"

Se voce foi vítima ou deseja alertar e/ou concientizar mais pessoas sobre os riscos e práticas que podem impedir que fraudes desse tipo ocorram com você, o Luiz Henrique(Cabuloso); Executivo e Especialista em Segurança tem um excelente vídeo com dicas importantes e de fácil entendimento para te ajudar: [Link]

Indicators of Compromise (IOCs)

Samples

3e169398c3913356b83e2a8964b0d24d39d8d4c4d7fd67483801018b9987f40d
6751c39cfc280e84f351f77fb82c7188dd0df7b6bc1883d79711576d02a0743c
8d8f99bad5ace948c54fbe4390ad5c843cf42cc2e33f4e3278f3eb8881390acc
da48939f8331acce822d9c52b0677c32191fe40285324a03a55aabf3adc179bf
9a0144fb2fac2d4cd1520c927c02071093ab05d08e5907cad006ab7876f7e784
a20af3103deeab3656335889d51073c7ca83c5d221bb843fae04ef5a7d609b67
7d8c4ee7aa9189146272fa299d1fc29f19dc13327a05a060606866e3df415f78
318e00ce9ebfe6ea29926ef914e570c328d615d1d3e836d73b462d65685cda2d
f9a23939277d371343966ab1af7609adc58e4e7a74a03572c7737ff098e57d44
C2/Configs

api.casanossolar.shop
api.robodopix.online
api.theworldisfantasy.online

API

%domain%/devices/init
%domain%/devices/ping

Subdomains

apks.%domain%
api.%domain%
mail.%domain%

Windows Path's

C:/Users/nuke/Documents/FantasyMalware/
C:/Users/nuke/Documents/GoatMalware/goatMalware - PIX AUTOMATICO DEBUGER/

A equipe do OpenCTI.BR espera aperfeiçoar e evoluir gradativamente, trazendo novas análises e indicadores de ameaças através deste formato consolidado e demais iniciativas. Para colaborar com sugestões ou criticas, por favor envie um e-mail para info@opencti.net.br.

Android Malware Analysis
Malware
Threat Intelligence
Threat Hunting

--

--

movq %rax,%rax
OpenCTI.BR
Follow

Written by movq %rax,%rax

146 Followers

reverse engineering and malware tales\\ Linkedin@isdebuggerpresent\\

Follow

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams