top of page
Buscar

Nova geração de malware Android rouba seed phrases, intercepta 2FA e consegue até desbloquear o dispositivo

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 9 horas
  • 3 min de leitura

ree

Pesquisadores revelaram detalhes sobre duas novas famílias de malware voltadas para Android FvncBot e SeedSnatcher além de uma versão significativamente aprimorada do spyware ClayRat, que tem sido observado em campanhas recentes. As descobertas foram realizadas por equipes da Intel 471, CYFIRMA e Zimperium.


O primeiro deles, FvncBot, se disfarça como um aplicativo de segurança desenvolvido pelo banco polonês mBank, com o objetivo de atingir usuários de mobile banking na Polônia. Diferentemente de trojans consolidados como o ERMAC cujo código já vazou publicamente o FvncBot foi inteiramente escrito do zero, demonstrando esforço claro de inovação por parte dos hackers.


Segundo a Intel 471, o malware incorpora um conjunto robusto de funcionalidades: keylogging por meio da exploração dos serviços de acessibilidade do Android, ataques de web-inject, streaming de tela e o uso de hidden VNC (HVNC), que permite controlar o dispositivo remotamente sem que a vítima perceba.

ree

O app falso atua como loader, instalando silenciosamente o payload malicioso após enganar o usuário com um suposto componente do Google Play, alegado como essencial para “segurança e estabilidade”. Na prática, essa etapa serve para contornar restrições das versões mais recentes do Android (13+) que limitam abusos de acessibilidade. Durante a execução, o FvncBot se comunica com um servidor remoto no domínio naleymilva.it.com, onde envia registros de atividade e recebe comandos. Os identificadores encontrados apontam que o alvo são usuários poloneses e que o malware ainda está em fase inicial de desenvolvimento.


Uma vez instalado, o FvncBot solicita permissões de acessibilidade para operar com privilégios elevados e conectar-se a um servidor externo via HTTP, registrando o dispositivo e recebendo instruções por Firebase Cloud Messaging (FCM). Entre suas capacidades estão:


  • Controle remoto da navegação na tela por WebSocket, incluindo cliques, rolagem e gestos;

  • Exfiltração de eventos de acessibilidade, apps instalados e informações do dispositivo;

  • Exibição de overlays maliciosos sobre aplicativos legítimos para roubo de dados sensíveis;

  • Keylogging por acessibilidade;

  • Streaming da tela via MediaProjection;

  • Inspeção do layout da tela mesmo em apps com FLAG_SECURE, impedindo screenshots.


Até o momento, não há confirmação de como o FvncBot é distribuído, mas campanhas semelhantes já utilizaram golpes via SMS e lojas de aplicativos de terceiros.


Enquanto isso, o SeedSnatcher, distribuído no Telegram sob o nome “Coin”, foca no roubo de seed phrases de carteiras de criptomoedas. O malware também intercepta mensagens SMS para capturar códigos de 2FA, permitindo invasões de contas. Além disso, coleta dados do dispositivo, contatos, registros de chamadas, arquivos e informações sensíveis por meio de overlays de phishing. Indicadores linguísticos sugerem que o grupo responsável pelo SeedSnatcher seja chinês ou de língua chinesa.

ree

A CYFIRMA destaca que o SeedSnatcher usa técnicas avançadas de evasão, como carregamento dinâmico de classes, injeção oculta de conteúdo em WebView e uso de instruções de comando com base em inteiros. O malware começa pedindo permissões mínimas, mas gradualmente amplia seu acesso ao dispositivo.


Já o ClayRat conhecido spyware Android recebeu uma atualização significativa, tornando-se mais agressivo e difícil de remover. A análise da Zimperium mostra que o malware agora abusa dos serviços de acessibilidade, captura teclas digitadas, grava a tela, cria overlays persistentes (incluindo falsos avisos de atualização do sistema) e até desbloqueia automaticamente o PIN, senha ou padrão do dispositivo. Ele também coleta notificações e mantém controle contínuo do aparelho.


O ClayRat tem sido disseminado por meio de 25 domínios fraudulentos que imitam serviços populares, como YouTube, oferecendo supostas versões “Pro” com reprodução em segundo plano e suporte HDR. Outras variantes têm sido distribuídas por apps disfarçados como serviços russos de táxi e estacionamentos.


Pesquisadores alertam que o conjunto de novas técnicas transforma o ClayRat em um spyware extremamente perigoso, capaz de se manter ativo mesmo quando a vítima tenta reiniciar ou desinstalar o app.


Via - THN

 
 
 
bottom of page