Die Bedrohungsakteure, die hinter der als Casbaneiro bekannten Windows-Banking-Malware stecken, werden für einen neuartigen Android-Trojaner namens BrasDex verantwortlich gemacht, der im Rahmen einer laufenden Multiplattform-Kampagne auf brasilianische Nutzer abzielt.
BrasDex verfügt über ein „komplexes Keylogging-System, das darauf ausgelegt ist, Accessibility Services zu missbrauchen, um Anmeldeinformationen speziell aus einer Reihe von brasilianischen Ziel-Apps zu extrahieren, sowie über eine äußerst leistungsfähige Automated Transfer System(ATS)-Engine“, so ThreatFabric in einem letzte Woche veröffentlichten Bericht.
Das niederländische Sicherheitsunternehmen erklärte, dass die Command-and-Control-Infrastruktur (C2), die in Verbindung mit BrasDex verwendet wird, auch für die Kontrolle von Casbaneiro genutzt wird, von dem bekannt ist, dass er Banken und Kryptowährungsdienste in Brasilien und Mexiko angreift.
Es wird geschätzt, dass die hybride Android- und Windows-Malware-Kampagne bisher Tausende von Infektionen verursacht hat.
BrasDex, das sich als Banking-App für Banco Santander tarnt, ist auch ein Beispiel für einen neuen Trend, bei dem die Accessibility-APIs von Android missbraucht werden, um die Tastatureingaben der Opfer zu protokollieren und sich von der traditionellen Methode der Overlay-Angriffe zum Diebstahl von Zugangsdaten und anderen persönlichen Daten zu entfernen.
Außerdem werden Informationen über den Kontostand abgefangen, die dann genutzt werden, um infizierte Geräte zu übernehmen und betrügerische Transaktionen programmgesteuert einzuleiten.
Ein weiterer bemerkenswerter Aspekt von BrasDex ist die Konzentration auf die PIX-Zahlungsplattform, die es Bankkunden in Brasilien ermöglicht, Geldtransfers einfach über ihre E-Mail-Adresse oder Telefonnummer durchzuführen.
Das ATS-System in BrasDex ist ausdrücklich darauf ausgelegt, die PIX-Technologie für betrügerische Überweisungen zu missbrauchen.
Dies ist nicht das erste Mal, dass das Instant-Payment-Ökosystem ins Visier böser Akteure gerät. Im September 2021 berichtete Check Point über zwei Android-Malware-Familien namens PixStealer und MalRhino, die Nutzer dazu verleiten, ihr gesamtes Guthaben auf ein von einem Akteur kontrolliertes Konto zu überweisen.
Die Untersuchung von BrasDex ermöglichte ThreatFabric auch den Zugriff auf das C2-Panel, das von den kriminellen Betreibern genutzt wurde, um die infizierten Geräte zu verfolgen und die von den Android-Telefonen exfiltrierten Datenprotokolle abzurufen.
Das C2-Panel wird auch genutzt, um eine andere Malware-Kampagne im Auge zu behalten, die Windows-Rechner kompromittiert, um Casbaneiro, einen auf Delphi basierenden Finanztrojaner, zu installieren.
Diese Angriffskette nutzt Phishing-Köder, die vorgeben, von Correios, einem staatlichen Postdienst, zu stammen, um die Empfänger dazu zu bringen, die Malware in einem mehrstufigen Prozess auszuführen.
Casbaneiro verfügt über die typischen Backdoor-Funktionen, die es ihm ermöglichen, die Kontrolle über Bankkonten zu übernehmen, Screenshots zu erstellen, Keylogging zu betreiben, Daten aus der Zwischenablage abzugreifen und sogar als Clipper-Malware zu fungieren, um Krypto-Transaktionen abzugreifen.
„Als unabhängige und vollwertige Malware-Familien bilden BrasDex und Casbaneiro ein sehr gefährliches Paar, das es dem Akteur dahinter ermöglicht, sowohl Android- als auch Windows-Nutzer in großem Umfang anzugreifen“, so ThreatFabric.
„Der Fall BrasDex zeigt, wie wichtig es ist, dass auf den Geräten der Kunden Mechanismen zur Erkennung und Verhinderung von Betrug vorhanden sind: Betrügerische Zahlungen, die mit Hilfe von ATS-Engines automatisch getätigt werden, erscheinen den Backends der Banken und den Betrugserkennungs-Engines legitim, da sie über dasselbe Gerät getätigt werden, das normalerweise von den Kunden verwendet wird.“