Instalação do malware

O malware age disfarçado como um aplicativo de e-mail. Uma vez instalado, seu ícone aparece na tela do menu.

Este tipo de malware obriga o usuário a fornecer o dispositivo como administrador. O falso ícone de e-mail é então escondido, mas o malware continua ativo em segundo plano.

Ele é responsável por vários ataques, tais como "chamar diretamente o número de telefone", enviar mensagens SMS ","receber mensagens de texto (SMS)", etc.

Como ele age

Este malware lança um código chave e após a instalação, inicia três serviços: (GPService2, FDService e AdminRightsService) e esconde seu ícone. Assim, estes serviços continuam a funcionar em segundo plano.

Veja a seguir como funciona cada tipo de serviço:

1. Serviço GPService2

Esse serviço é executado em segundo plano e monitora todos os processos em execução no dispositivo e também ataca os bancos visados. Ele solicita que o usuário personalize a configuração que se assemelha a aplicação bancária legítima, iniciando assim, seu ataque. Ele também inclui uma tela de login personalizado diferente para cada banco. Além disso, este serviço de monitoramento também tenta impedir alguns aplicativos móveis antivírus e utilitários de serviços, impedindo-os de serem lançados.

Além disso, este código faz com que o malware saiba quando o usuário está baixando um antivírus. Verificando, em seguida, se esse antivírus está em sua lista. Se sim, ele retorna à tela de início e impede a instalação do antivírus.

2. Serviço FDService

Esse serviço também é executado em segundo plano e monitora todos os processos em execução no dispositivo. Ele solicita que o usuário baixe um jogo falso que se assemelha a aplicação legítima e quando esse aplicativo é iniciado, lança esse código.

Serviço 3. AdminRightsService

Já este serviço requer direitos de administrador do dispositivo quando o malware é lançado pela primeira vez. Uma vez feito, torna o vírus mais difícil de remover.

Roubar informações das vítimas e obter comandos a partir de C & C

A partir do momento em que o malware é instalado, ele coleta informações sobre o dispositivo, envia para o servidor C & C, e aguarda o servidor para responder com novos comandos a serem realizados.

Aplicações bancárias da Alemanha são alvos fortes 

Foram descobertas 15 aplicações bancárias na lista de app como alvo, de acordo com a Fortinet.

Uma vez que este aplicativo malicioso é instalado e concedido o direito de administrar o dispositivo, o malware envia um pedido através de HTTPS ao servidor C2 para obter a carga útil. O servidor C2, em seguida, responde com uma página de login falso e os aplicativos maliciosos recolhem os dados bancários.

Há uma tela de login personalizado diferente para cada banco alvejado por este malware.

Roubo de informações autenticadas

Este processo é idêntico para qualquer inserção dos bancos segmentados.

O malware descarrega a carga falsa do banco a partir do seu servidor C2. O servidor C2 fornece uma tela de login personalizado que é usada como uma sobreposição na parte superior do aplicativo legítimo.

Uma vez que o usuário envia as informações de autenticação, o malware envia a informação para o seu Servidor C2.

Resistência a antivírus de aplicativos móveis

O malware também tenta impedir a instalação de alguns antivírus de aplicativos móveis e consequentemente a utilização de serviços.

Concluindo

Este malware implementa múltiplas funcionalidades maliciosas em um único aplicativo e tira o máximo partido de uma infecção bem sucedida. Ele tem como alvo 15 grandes bancos alemães. E também tem a funcionalidade de resistência a antivírus de aplicativos móveis, podendo dificultar 30 programas antivírus diferentes de serem instalados.

Fonte

Fortinet