Os malwares para Android FvncBot, SeedSnatcher e ClayRat: como eles atacam seu celular

Se você usa um telefone Android diariamente para serviços bancários online, redes sociais ou criptomoedasVocê deve levar muito a sério o que está prestes a ler. Nos últimos meses, várias famílias de malware extremamente avançadas — FvncBot, SeedSnatcher e uma versão aprimorada do ClayRat — surgiram, elevando os ataques a dispositivos móveis a um novo patamar ao combinar engenharia social, controle remoto de dispositivos e roubo massivo de dados confidenciais.

Ao contrário dos vírus que apenas exibiam anúncios irritantes, esses Trojans são capazes de Assumir o controle quase total do telefone, esvaziar carteiras de criptomoedas, roubar credenciais bancárias e espionar a vítima. Com um nível de sofisticação comparável (ou superior) ao de muitos ataques a computadores. Veremos de forma clara e detalhada como funcionam, quais técnicas têm em comum e o que você pode fazer para evitar que seu celular se torne uma ferramenta para invasores.

Um cenário de ameaças móveis cada vez mais agressivo

O ecossistema Android é gigantesco, com bilhões de dispositivos gerenciando sistemas operacionais. pagamentos, autenticação de dois fatores (2FA), comunicações privadas e acesso a sistemas corporativos.Essa onipresença tornou o Android um alvo preferido de quadrilhas criminosas, golpistas financeiros e grupos APT com possível apoio estatal.

Laboratórios de segurança como Intel 471, CYFIRMA e Zimperium documentaram um evolução acelerada do malware para Androidonde o foco já não está apenas nos usuários domésticos. Cada vez mais, as campanhas têm como alvo funcionários de empresas, perfis com acesso privilegiado ou usuários que lidam com grandes somas de dinheiro em bancos e criptomoedas.

Nesse contexto, três famílias específicas ganharam destaque: FvncBot, SeedSnatcher e ClayRatCada um se especializa em uma área específica (bancos tradicionais, criptomoedas ou espionagem persistente), mas compartilham uma abordagem comum: passar despercebidos, abusando de recursos legítimos do Android — especialmente acessibilidade e sobreposições de tela — e Extrair o máximo de informações possível, mantendo o controle do dispositivo..

Os atacantes aperfeiçoaram o uso de Aplicativos dropper ofuscados, serviços de criptografia como o apk0day, canais de mensagens como o Telegram e domínios de phishing altamente sofisticados. que imitam perfeitamente sites e aplicativos populares (YouTube, WhatsApp, aplicativos de táxi, carteiras de criptomoedas, etc.). Para o usuário comum, distinguir um aplicativo legítimo de um manipulado está se tornando cada vez mais difícil.

FvncBot: trojan bancário com controle remoto do tipo VNC

FvncBot é um Trojan bancário e RAT para Android desenvolvido do zerosem reciclar código vazado de outros malwares, como o ERMAC. Sua principal campanha pública se concentra em usuários do aplicativo de banco móvel mBank na Polônia, onde se faz passar por um suposto aplicativo de segurança oficial associado ao banco.

O aplicativo fraudulento funciona como O dropper é protegido por um serviço de criptografia/ofuscação chamado apk0day, oferecido pela Golden Crypt.Este serviço empacota o código de uma forma que dificulta bastante a análise estática e a detecção de assinaturas. Ao abrir o aplicativo, uma notificação aparece solicitando ao usuário que instale um suposto "componente do Google Play" destinado a melhorar a estabilidade ou a segurança do sistema.

Na verdade, esse componente é o Carga útil do FvncBotO malware explora uma abordagem baseada em sessão para contornar as restrições que o Android 13 e versões posteriores impõem ao uso de serviços de acessibilidade por aplicativos baixados de fora da Google Play. Dessa forma, mesmo em versões recentes do sistema, ele consegue ativar as permissões necessárias para visualizar e controlar praticamente tudo no dispositivo.

Após a implantação, o FvncBot solicita ao usuário que conceda permissão. permissões de serviço de acessibilidadeSe a vítima concordar, o Trojan ganha privilégios muito elevados: ele pode ler o que aparece na tela, detectar quais aplicativos estão abertos, simular toques e gestos, exibir janelas sobre outros aplicativos e registrar as teclas digitadas em formulários sensíveis, como logins bancários ou serviços de pagamento.

Durante sua execução, o malware envia eventos de registro para um servidor remoto sob o domínio naleymilva.it.comAs amostras analisadas apresentaram um identificador de compilação "call_pl", que aponta para a Polônia como país de destino, e uma versão configurada como "1.0-P", indicando que se trata de uma família ainda em estágios iniciais de desenvolvimento e, portanto, com espaço para continuar adicionando recursos.

Após registrar o dispositivo, o FvncBot se conecta à sua infraestrutura de comando e controle usando HTTP e o serviço Firebase Cloud Messaging (FCM)Por meio desses canais, ele recebe ordens em tempo real e pode modificar seu comportamento instantaneamente, ativando ou desativando módulos dependendo do tipo de vítima ou da campanha específica.

Entre as capacidades Os seguintes itens foram documentados:

Capacidade de Inicie ou interrompa conexões WebSocket que permitam o controle remoto do dispositivo., deslizando, tocando, rolando ou abrindo aplicativos como se o atacante estivesse com o celular na mão.
Exfiltração de eventos de acessibilidade, lista de aplicativos instalados e informações do dispositivo. (modelo, versão do Android, configuração do bot, etc.).
Receber configurações específicas para Exibir sobreposições maliciosas em tela cheia em aplicativos selecionadosgeralmente aplicativos bancários ou de pagamento.
Ocultar essas sobreposições no momento oportuno, de modo que a vítima mal perceba o comportamento estranho.
Abuso de serviços de acessibilidade para Registrar as teclas digitadas e os dados inseridos em formulários críticos..
Uso da API MediaProjection para transmitir conteúdo da tela em tempo real.Isso permite que os invasores vejam exatamente o que o usuário está fazendo, mesmo em aplicativos que bloqueiam capturas de tela com o sinalizador FLAG_SECURE.

Além disso, o FvncBot possui um "modo texto" que permite que ele Analisar o design e o conteúdo visível da interface, mesmo quando as capturas convencionais não puderem ser feitas.Isso permite inspecionar campos de entrada, botões e mensagens de segurança em aplicativos especialmente protegidos.

Atualmente, não há confirmação pública sobre seu principal método de distribuição, mas, com base em semelhanças com outras famílias de Trojans bancários, é altamente provável que dependa de... campanhas de smishing (phishing por SMS), links enviados por mensagens instantâneas e lojas de aplicativos de terceiros onde são carregados clones maliciosos de aplicativos conhecidos ou ferramentas de segurança falsas.

Embora a configuração atual esteja voltada para Usuário polonês do mBankO design modular do FvncBot facilita aos atacantes a adaptação de idioma, logotipos, modelos de sobreposição e até mesmo o direcionamento a bancos sem esforço. Não seria surpreendente vê-lo se expandir para campanhas em outros países ou contra diferentes bancos em pouco tempo.

SeedSnatcher: ladrão de frases-semente e códigos de autenticação de dois fatores.

Se o FvncBot concentrar sua atenção no sistema bancário tradicional, O SeedSnatcher está visando diretamente o ecossistema cripto.Este é um programa para Android chamado infostealer, projetado para roubar frases-semente de carteiras, chaves privadas e qualquer informação que permita assumir o controle de carteiras de criptomoedas, além de outros dados sensíveis do dispositivo.

O SeedSnatcher é distribuído principalmente através de Telegram e outros canais sociais, disfarçados sob o nome “Coin” ou outros nomes que sugerem ferramentas de investimento, aplicativos de gerenciamento de criptomoedas ou acesso a promoções exclusivas. Os atacantes espalharam links para APKs supostamente legítimos em grupos públicos e privados relacionados a negociação, NFTs ou notícias sobre blockchain.

O aplicativo malicioso é projetado para não levantar suspeitas ao ser acessado: geralmente Ele solicita pouquíssimas permissões durante a instalação, principalmente acesso a SMS ou opções aparentemente inofensivas.Essa abordagem ajuda a contornar soluções de segurança que alertam para solicitações de permissão em massa logo na primeira inicialização.

No entanto, nos bastidores, o SeedSnatcher começa a implantar seu arsenal. Seus desenvolvedores incorporaram técnicas como... Carregamento dinâmico de classes e injeção oculta de conteúdo em WebViewIsso permite que o aplicativo baixe módulos adicionais do servidor de comando e controle, modifique-se dinamicamente e ative funções somente quando detecta que a vítima abre determinados aplicativos relacionados a criptomoedas.

Uma de suas capacidades mais perigosas é a geração de sobreposições de phishing extremamente convincentes Esses golpes imitam a aparência de carteiras de criptomoedas, corretoras ou telas de recuperação de conta conhecidas. O usuário acredita que está restaurando sua carteira ou verificando sua identidade, mas, na realidade, está entregando sua frase mnemônica ou chave privada aos golpistas.

Além de sementes de recuperação, o SeedSnatcher pode Interceptar mensagens SMS recebidas para capturar códigos de autenticação de dois fatores (2FA).Isso facilita o sequestro de contas em serviços de câmbio, plataformas de negociação ou até mesmo outros serviços que ainda utilizam SMS como segundo fator de autenticação.

O malware também está preparado para Extrair informações extensas do dispositivo: contatos, registros de chamadas, arquivos locais e outros dados de interesse. que podem ser reutilizadas em futuras campanhas de fraude, extorsão ou vendas em fóruns clandestinos.

Investigações atribuídas à CYFIRMA indicam que os operadores do SeedSnatcher seriam grupos sediados na China ou de língua chinesa, com base em instruções e documentação nesse idioma presentes tanto no painel de controle do ladrão quanto em mensagens compartilhadas via Telegram.

O padrão de escalonamento de privilégios do SeedSnatcher é muito calculado: começa com licenças mínimas Para não ser detectado, o programa solicita posteriormente permissão para acessar o gerenciador de arquivos, exibir sobreposições, ler contatos, visualizar registros de chamadas e outros recursos críticos. Cada solicitação é disfarçada como se fosse necessária para uma função legítima, reduzindo a probabilidade de suspeita por parte do usuário.

ClayRat: spyware modular e controle quase total do dispositivo.

ClayRat é um Spyware modular para Android que evoluiu rapidamente. até se tornar uma das ferramentas de vigilância móvel mais perigosas do mercado atualmente. Inicialmente, era direcionada a mercados específicos (especialmente usuários russos), mas as variantes recentes demonstram um salto significativo em termos de recursos, persistência e alcance geográfico.

Sua distribuição é baseada em uma mistura de campanhas em Telegram e sites de phishing cuidadosamente elaborados Esses sites se fazem passar por serviços conhecidos. Eles promovem aplicativos populares — como WhatsApp, Google Fotos, TikTok ou YouTube — e exibem avaliações falsas, classificações positivas e números inflados de downloads para reforçar a sensação de legitimidade.

O que o usuário baixa, na verdade, geralmente não é o spyware em si, mas sim um arquivo. Dropper leve contendo malware oculto e criptografadoEste dropper pode se disfarçar de um simples aplicativo de vídeo, um cliente supostamente aprimorado ou uma ferramenta útil. Uma vez instalado, ele descriptografa e libera a carga maliciosa, burlando alguns controles de segurança do sistema.

Pesquisas realizadas pela Zimperium zLabs e outras equipes revelaram que o ClayRat Isso configura um abuso duplo dos serviços de acessibilidade e das permissões padrão de SMS.Ao se tornar o aplicativo de SMS padrão, ele pode ler, escrever e enviar mensagens sem o conhecimento do usuário, interceptando códigos de autenticação de dois fatores (2FA), manipulando conversas e usando-as como vetor para disseminar a infecção.

As versões mais recentes incorporam uma ampla gama de recursos. repertório de funcionalidades avançadas:

Registro de teclas digitadas, capturas de tela e gravação de tela completa., o que permite a reconstrução de praticamente tudo o que a vítima faz.
Ligado chamadas, notificações, histórico, fotos da câmera frontal e outros dados privados., com a possibilidade de enviá-los para o servidor de comando e controle.
Capacidade de Tire fotos com a câmera frontal e retire-as silenciosamente.Algo especialmente invasivo, pois aponta diretamente para o rosto da vítima.
Implantação de Sobreposições que simulam atualizações do sistema, telas pretas ou mensagens de manutenção., usado para mascarar atividades maliciosas enquanto os invasores operam o dispositivo em segundo plano.
Geração de notificações interativas falsas que parecem vir do sistema ou de aplicativos legítimos e que servem para coletar respostas, códigos e digitações.

Um aspecto particularmente perturbador é a capacidade do ClayRat de O dispositivo será desbloqueado automaticamente mesmo se você usar um PIN, senha ou padrão.Combinando acessibilidade, reconhecimento do layout da tela e automação de gestos, o malware consegue contornar a tela de bloqueio e operar o celular sem interação do usuário.

Além de espionar, o ClayRat transforma cada computador infectado em um nó de distribuição automatizadoÉ possível enviar mensagens SMS com links maliciosos para contatos armazenados no telefone, explorando a confiança depositada em mensagens recebidas de um número conhecido. Isso facilita a propagação rápida e generalizada sem exigir que os atacantes possuam uma grande infraestrutura adicional.

O uso de pelo menos 25 domínios de phishing que imitam serviços legítimos como o YouTubeOferecendo uma suposta versão "Pro" com reprodução em segundo plano e suporte a 4K HDR. Aplicativos falsos que se fazem passar pelo app também foram detectados. Aplicativos russos de táxi e estacionamento, replicando nomes, ícones e descrições para enganar os usuários locais.

A expansão das capacidades do ClayRat — da simples exfiltração de dados à Controle total do dispositivo com sobreposições persistentes e desbloqueio automático.— torna esta última variante ainda mais perigosa do que as anteriores, nas quais pelo menos havia alguma possibilidade de a vítima detectar atividades estranhas, desinstalar o aplicativo ou desligar o celular a tempo.

Técnicas comuns: acessibilidade, sobreposições e evasão avançada.

Embora FvncBot, SeedSnatcher e ClayRat busquem objetivos um tanto diferentes, eles se baseiam em um conjunto de compartilharam táticas e técnicas que explicam por que estão tendo tanto sucesso. em campanhas reais.

Em primeiro lugar, destaca o abuso sistemático dos serviços de acessibilidade do AndroidEssa funcionalidade foi projetada para ajudar usuários com deficiência a interagir com o dispositivo, mas, se usada indevidamente, permite que invasores leiam o que aparece na tela, detectem alterações na interface, automatizem gestos e, na prática, controlem o celular quase como se fosse deles.

O segundo pilar é o sobreposições que substituem interfaces legítimas de tela cheia ou parcialAo sobrepor uma camada falsa a um aplicativo legítimo — seja ele um banco, uma carteira de criptomoedas ou um serviço popular — os atacantes capturam credenciais, dados pessoais, números de cartão ou frases-semente sem precisar comprometer o aplicativo original. O usuário acredita estar interagindo com o aplicativo normal, mas, na realidade, está digitando em uma tela controlada pelo malware.

Em terceiro lugar, essas famílias recorrem a técnicas de evasão altamente desenvolvidasOfuscação e criptografia de código usando serviços como o apk0day, carregamento dinâmico de classes que são baixadas apenas quando necessário, injeção silenciosa de conteúdo no WebView e uso de instruções de comando baseadas em números inteiros para tornar o tráfego menos óbvio para sistemas de monitoramento.

A comunicação com servidores de comando e controle também se tornou mais sofisticada. Muitos desses cavalos de Troia empregam O Firebase Cloud Messaging permite o recebimento de pedidos, conexões WebSocket para controle em tempo real e exfiltração de dados via HTTP ou HTTPS., misturando seu tráfego malicioso com o tráfego legítimo de outros aplicativos, o que complica sua detecção em redes corporativas e domésticas.

Tudo o que foi mencionado acima é complementado por um trabalho de engenharia social muito cuidadosoOs atacantes criam aplicativos que se fazem passar por componentes do Google Play, ferramentas de segurança, aplicativos bancários oficiais, versões "Pro" de plataformas conhecidas ou serviços populares como táxis, estacionamento e carteiras digitais. O objetivo é baixar a guarda do usuário para que ele aceite instalações e permissões críticas quase sem lê-las.

Como seu dispositivo Android pode ser infectado e quais são os sinais de uma possível invasão?

Apesar de toda a tecnologia envolvida, o ponto de partida geralmente é sempre o mesmo: Convencer o usuário a instalar manualmente um APK ou conceder permissões perigosas.Para isso, eles se baseiam em mensagens de smishing, campanhas em redes sociais, fóruns, grupos do Telegram ou páginas que prometem vantagens irresistíveis (aplicativos pagos gratuitos, versões sem anúncios, oportunidades de investimento, etc.).

Uma vez que a vítima é iludida pela promessa, Baixe o APK de uma fonte não oficial.pressione “Instalar” e depois Aceita permissões de acessibilidade, acesso a SMS, sobreposições e função padrão do aplicativo. Para determinados serviços (como mensagens). A partir daí, grande parte do controle passa para as mãos do malware, que tentará operar silenciosamente para não levantar suspeitas.

Mesmo assim, existem vários indicadores de compromisso que devem ser monitorados:

Consumo anormal de bateria e superaquecimento do celular sem uso intenso aparente.
Aumento significativo no tráfego de dados móveis ou Wi-Fi sem uma explicação clara.
Aparência de Aplicativos que você não se lembra de ter instalado. ou alterações nos aplicativos padrão de SMS, bancos ou mensagens.
Encerramento inesperado, falhas ou comportamentos estranhos em aplicativos importantes, como bancos, carteiras digitais, redes sociais ou aplicativos de mensagens.
Caixas de diálogo de permissão incomuns, especialmente aquelas relacionadas à acessibilidade, SMS ou gerenciamento de dispositivos.
Alertas para logins suspeitos ou alterações de localização incomuns em suas contas na nuvem, serviços de criptomoedas ou serviços bancários online.

Se você notar vários desses sintomas, é aconselhável consultar um médico. digitalização completa com um solução de segurança móvel confiávelAnalise manualmente a lista de aplicativos instalados (incluindo aqueles com ícones genéricos ou nomes estranhos) e, se a situação for grave, considere restaurar as configurações de fábrica após fazer backup apenas dos itens essenciais.

Melhores práticas para proteger seu celular contra FvncBot, SeedSnatcher e ClayRat

A melhor defesa contra essas ameaças combina tecnologia e bom senso. No nível do usuário, existem diversas opções. diretrizes básicas de higiene digital o que reduz drasticamente as chances de infecção por FvncBot, SeedSnatcher, ClayRat ou similares.

A regra de ouro é clara: Instale aplicativos somente da Google Play ou dos sites oficiais dos fornecedores.O download de arquivos APK a partir de links recebidos por SMS, e-mail, redes sociais, canais do Telegram ou sites de download "milagrosos" é, atualmente, um dos principais pontos de entrada para malware em dispositivos móveis.

Também é fundamental reservar alguns segundos para Analise as permissões solicitadas por cada aplicativo antes de aceitá-las.Se um aplicativo que supostamente permite assistir a vídeos, ouvir música ou verificar a previsão do tempo solicitar acesso total a mensagens SMS, serviços de acessibilidade, contatos ou administração do dispositivo, desconfie. Muitos ataques dependem de usuários que clicam em "Aceitar" sem ler absolutamente nada.

Outra camada fundamental é a manutenção. Android, aplicativos e soluções de segurança sempre atualizados.Fabricantes e o Google lançam frequentemente atualizações para corrigir vulnerabilidades que esses Trojans tentam explorar. Habilitar as atualizações automáticas e verificá-las periodicamente é um investimento mínimo de tempo com um enorme retorno em segurança.

Em relação a contas e credenciais, é aconselhável usar Senhas fortes e diferentes para cada serviço.Armazene essas chaves em um gerenciador de senhas confiável e habilite a autenticação em duas etapas sempre que possível. No entanto, é preferível usar métodos de autenticação em duas etapas baseados em aplicativos autenticadores ou chaves físicas em vez de SMS, justamente porque muitos programas maliciosos para dispositivos móveis são especializados em interceptar mensagens.

Para quem administra quantias significativas de criptomoedas, é prudente... Frases-semente e chaves privadas não são geradas nem armazenadas em um dispositivo Android de uso geral.O uso de carteiras de hardware ou dispositivos dedicados minimiza o impacto de um programa de roubo de informações como o SeedSnatcher no dispositivo móvel principal.

Em ambientes corporativos, as organizações devem confiar em soluções de gerenciamento de dispositivos móveis (MDM) Para controlar quais aplicativos podem ser instalados, aplique políticas de criptografia, separe perfis pessoais e profissionais e monitore indicadores de comprometimento. O treinamento contínuo dos funcionários sobre phishing em dispositivos móveis, links suspeitos e telas de permissão anômalas é tão importante quanto qualquer solução técnica.

O surgimento do FvncBot, do SeedSnatcher e do novo ClayRat comprova que O foco principal do cibercrime deslocou-se significativamente para os dispositivos móveis.Compreender como funcionam, que permissões utilizam indevidamente e por que suas campanhas são tão convincentes ajuda a aumentar a conscientização de que o smartphone deixou de ser um "brinquedo" relativamente seguro e se tornou o elo mais valioso em nossa vida digital.