Os celulares Android se tornaram o centro de nossas vidas digitais: serviços bancários, criptomoedas, trabalho, redes sociais… e, infelizmente, também… alvo preferido dos cibercriminososEmbora muitos usuários ainda pensem que com instalar “um antivírus” Agora que tudo está resolvido, a realidade é que o malware para Android deu um salto enorme em sofisticação e agora compete diretamente com as ameaças tradicionais para PC.
Nos últimos meses, diversos laboratórios de segurança têm se concentrado em três famílias muito específicas: FvncBot, SeedSnatcher e a versão melhorada do ClayRatNão se trata de simples Trojans que apenas exibem anúncios irritantes: estamos falando de malware capaz de controlar remotamente seu celular, roubar credenciais bancárias, esvaziar carteiras de criptomoedas, registrar as teclas digitadas ou até mesmo desbloquear o dispositivo automaticamente, tudo isso explorando serviços de acessibilidade e sobreposições de tela muito difíceis de detectar a olho nu.
Especialistas em cibersegurança vêm observando há algum tempo um evolução acelerada do malware para Android, com campanhas que visam infectar não apenas usuários domésticos, mas também funcionários de empresas e perfis com acesso a informações sensíveis ou recursos econômicos relevantes.
Por trás dessas ameaças, encontramos ambos os grupos com motivação puramente financeira como atores persistentes avançados (APTs) com possíveis ligações estatais, especialmente no caso de spyware como o ClayRat, voltado para espionagem de longo alcance, roubo de dados e rastreamento de vítimas específicas.
Os métodos para comprometer dispositivos Android baseiam-se em grande parte em engenharia social e na distribuição de aplicativos maliciosos fora do Google PlayNo entanto, lojas de terceiros, domínios de phishing que imitam serviços populares e canais de mensagens como o Telegram, onde são compartilhados links para APKs manipulados, também são explorados.
Esses novos Trojans se aproveitam de funcionalidades legítimas do sistema, especialmente o Serviços de acessibilidade, sobreposições de tela e a API MediaProjection. (usados para gravar ou compartilhar a tela), transformando-os em ferramentas de espionagem e fraude financeira extremamente eficaz.
Nesse contexto, três nomes estão se destacando e já são frequentemente mencionados em relatórios técnicos: FvncBot, SeedSnatcher e ClayRatCada um opera com suas próprias táticas, mas todos compartilham o mesmo objetivo: roubar o máximo de informações possível e manter o controle do dispositivo sem levantar suspeitas.
Um cenário de ameaças móveis cada vez mais agressivo
Especialistas em cibersegurança vêm observando há algum tempo um evolução acelerada do malware para Android, com campanhas que visam infectar não apenas usuários domésticos, mas também funcionários de empresas e perfis com acesso a informações sensíveis ou recursos econômicos relevantes.
Por trás dessas ameaças, encontramos ambos os grupos com motivação puramente financeira como atores persistentes avançados (APTs) com possíveis ligações estatais, especialmente no caso de spyware como o ClayRat, voltado para espionagem de longo alcance, roubo de dados e rastreamento de vítimas específicas.
Os métodos para comprometer dispositivos Android baseiam-se em grande parte em engenharia social e na distribuição de aplicativos maliciosos Fora da Google Play, lojas de terceiros, domínios de phishing que imitam serviços populares e canais de mensagens como o Telegram, onde são compartilhados links para APKs manipulados, também são explorados.
Esses novos Trojans se aproveitam de funcionalidades legítimas do sistema, especialmente o Serviços de acessibilidade, sobreposições de tela e a API MediaProjection. (usadas para gravar ou compartilhar a tela), tornando-as ferramentas extremamente eficazes para espionagem e fraude financeira.
Nesse contexto, três nomes estão se destacando e já são frequentemente mencionados em relatórios técnicos: FvncBot, SeedSnatcher e ClayRatCada um opera com suas próprias táticas, mas todos compartilham o mesmo objetivo: roubar o máximo de informações possível e manter o controle do dispositivo sem levantar suspeitas.
FvncBot: trojan bancário com controle remoto do tipo VNC
O principal truque deles é fingir ser um aplicação de segurança associada ao mBankUma conhecida instituição financeira polaca. O utilizador acredita estar a instalar uma aplicação legítima que melhora a segurança do seu serviço de banca móvel, quando na realidade está a introduzir um Trojan capaz de registar tudo o que faz e de assumir o controlo remoto do seu dispositivo móvel.
O processo de infecção começa por meio de um aplicativo "dropper" que funciona como um carregador. Este aplicativo é protegido por um serviço de ofuscação e criptografia conhecido como apk0day, oferecido por Golden CryptIsso dificulta a análise do código e sua identificação por meio de soluções de segurança. Ao ser aberto, o aplicativo exibe uma mensagem solicitando ao usuário que instale um suposto "componente do Google Play" para melhorar a estabilidade ou a proteção do sistema.
Na realidade, esse componente é ele mesmo. carga maliciosa do FvncBotEste malware aproveita-se de uma abordagem baseada em sessão para contornar as restrições de acessibilidade introduzidas no Android 13. Assim, mesmo em versões recentes do sistema operacional, o malware consegue ativar as permissões necessárias para visualizar e controlar praticamente tudo no dispositivo.
Após a execução, o FvncBot solicita ao usuário que conceda permissão. permissões de serviços de acessibilidadeSe a vítima concordar, o Trojan ganha uma espécie de "superpoderes" dentro do sistema: ele pode ler o que é exibido na tela, detectar quais aplicativos estão abertos, simular pressionamentos de teclas, exibir janelas sobre outros aplicativos ou registrar pressionamentos de teclas em formulários sensíveis, como o login bancário.
Durante sua atividade, o malware envia eventos e registros para um Servidor remoto associado ao domínio naleymilva.it.comIsso foi usado pelos operadores para monitorar o status de cada dispositivo infectado. As amostras analisadas mostraram um identificador de compilação “call_pl”, que aponta explicitamente para a Polônia como o país alvo, e uma versão rotulada como “1.0-P”, sugerindo que o FvncBot ainda está nos estágios iniciais de desenvolvimento e pode continuar a evoluir.
Após o registro do dispositivo, o FvncBot se comunica com sua infraestrutura de comando e controle usando HTTP e Firebase Cloud Messaging (FCM)Por meio desses canais, ele recebe instruções em tempo real e pode modificar seu comportamento de acordo com as ordens dos atacantes, ativando ou desativando módulos específicos dependendo do tipo de vítima ou da campanha em andamento.
Dentre as funções documentadas neste Trojan, várias se destacam como particularmente críticas, como a capacidade de Iniciar ou parar conexões WebSocket que permitem o controle remoto do dispositivo: os invasores podem deslizar, tocar, rolar, abrir aplicativos ou inserir dados quase como se tivessem o telefone em mãos.
Além disso, o FvncBot exfiltra eventos de acessibilidade, listas de aplicativos instalados e informações do dispositivo (modelo, versão, configuração, etc.), para que os operadores tenham uma lista completa de alvos, saibam quais aplicativos bancários ou de criptomoedas estão presentes e possam implantar sobreposições maliciosas apenas nos aplicativos que realmente lhes interessam.
O Trojan está pronto para mostrar telas falsas em tela cheiaAo imitar interfaces bancárias ou outros serviços, o programa captura credenciais, dados de cartão ou códigos de uso único. Ele também pode ocultar essas sobreposições quando não forem mais necessárias, de modo que a vítima dificilmente perceba qualquer comportamento incomum, além de uma possível oscilação na tela que geralmente é atribuída a um simples bug visual.
Outro aspecto marcante do FvncBot é o seu uso do API MediaProjection para transmissão de tela em tempo realIsso, combinado com o controle remoto via HVNC (Hidden Virtual Network Computing), permite que os invasores vejam exatamente o que a vítima vê e operem o aplicativo do banco com total liberdade, mesmo em aplicativos que tentam bloquear capturas de tela usando o sinalizador FLAG_SECURE.
Para superar essa limitação, o FvncBot incorpora um “modo texto” que analisa o conteúdo da interface mesmo quando as capturas tradicionais não podem ser feitasAssim, mesmo que um aplicativo bancário ou de pagamento impeça a captura de tela por motivos de segurança, o Trojan consegue ler os elementos na tela graças aos serviços de acessibilidade.
Não há confirmação pública sobre isso neste momento. vetor de distribuição principalNo entanto, com base no padrão de outros trojans bancários semelhantes, é muito provável que ele recorra a campanhas de smishing (phishing por SMS), links enviados por mensagens e lojas de aplicativos de terceiros onde versões falsas de aplicativos conhecidos ou supostas ferramentas de segurança são carregadas.
Embora as amostras atuais se concentrem em usuários poloneses e em uma entidade específica, os analistas estimam que É apenas uma questão de tempo até que o FvncBot se adapte a outros países e bancos.Alterar o idioma, os logotipos e os modelos de sobreposição é relativamente fácil.
SeedSnatcher: caçador de frases-semente e códigos de autenticação de dois fatores.
Se o principal alvo do FvncBot são as contas bancárias tradicionais, O SeedSnatcher está totalmente focado no ecossistema cripto.Essa família de malware para Android foi projetada especificamente para roubar frases-semente de carteiras, chaves privadas e, em geral, qualquer informação que permita assumir o controle de carteiras de criptomoedas.
O SeedSnatcher é distribuído principalmente através de Telegram e outros canais sociaisUsando o nome “Coin” para se disfarçarem de aplicativo de investimento, ferramenta de gerenciamento de criptomoedas ou promoção exclusiva. Os atacantes costumam distribuir links para APKs supostamente legítimos, aproveitando grupos públicos ou privados relacionados a negociações, NFTs ou notícias sobre blockchain.
Uma vez instalado, o aplicativo malicioso não apresenta nenhum comportamento suspeito inicialmente. Na verdade, uma de suas principais características é que Requer poucas autorizações de entrada.Geralmente, o acesso é restrito a SMS ou funções básicas, para não levantar suspeitas ou acionar alertas em soluções de segurança que priorizam solicitações excessivas de permissão.
No entanto, em segundo plano, o SeedSnatcher começa a implantar seu arsenal. Tirando proveito de técnicas avançadas como Carregamento dinâmico de classes e injeção furtiva de conteúdo em WebViewO aplicativo pode atualizar funcionalidades a partir do servidor de comando e controle, ser modificado em tempo real ou ativar módulos somente quando a vítima abrir determinados aplicativos relacionados a criptomoedas.
Uma das funções mais perigosas é a capacidade de mostrar sobreposições de phishing muito convincentes Esses golpes imitam a aparência de aplicativos de carteira digital, corretoras ou telas de recuperação de conta conhecidos. O usuário acredita que está inserindo sua frase mnemônica para restaurar a carteira ou verificar sua identidade, mas, na realidade, está entregando o controle de todos os seus fundos ao golpista.
Além das frases-semente, o SeedSnatcher intercepta Mensagens SMS recebidas para capturar códigos de autenticação em duas etapas (2FA)Isso abre caminho para o sequestro de contas em serviços de câmbio ou plataformas de negociação que dependem de SMS como segundo fator de autenticação.
O malware não se limita ao mundo das criptomoedas: ele também está preparado para exfiltrar dados do dispositivoincluindo contatos, registros de chamadas, arquivos armazenados no celular e outras informações potencialmente úteis para futuras campanhas de fraude ou para venda em mercados negros.
Investigações atribuídas à CYFIRMA sugerem que os operadores do SeedSnatcher podem ser grupos sediados na China ou de língua chinesa, com base em instruções nesse idioma encontradas em painéis de controle e canais de distribuição associados ao malware.
O processo de escalonamento de privilégios do SeedSnatcher segue um padrão muito calculado: começa com permissões mínimas e, posteriormente, solicita mais. Acesso ao gerenciador de arquivos, sobreposições, contatos, registros de chamadas e outros recursos.Esse comportamento escalonado ajuda a contornar soluções de segurança baseadas em heurísticas, que são ativadas por solicitações massivas de permissão desde a primeira inicialização.
A combinação de engano visual, roubo de SMS, monitoramento da área de transferência e exfiltração silenciosa de dados torna o SeedSnatcher um Isso representa uma ameaça crítica para qualquer usuário que lide com criptomoedas em seu dispositivo móvel.especialmente se você usar carteiras não custodiadas baseadas em frases-semente.
ClayRat: spyware modular com controle quase total do dispositivo.
A versão mais recente detectada destaca-se por abusar ainda mais do serviços de acessibilidade e permissões padrão de SMSGraças a isso, o ClayRat consegue registrar as teclas digitadas, ler as notificações recebidas no dispositivo, monitorar aplicativos sensíveis e gravar tanto a tela quanto o áudio, transformando o celular em uma verdadeira ferramenta de vigilância.
Este malware foi projetado para exibir Sobreposições que simulam atualizações do sistema, telas pretas ou janelas de manutenção.Esses recursos são usados para ocultar ações maliciosas enquanto os invasores manipulam o dispositivo em segundo plano. Quando os usuários veem uma tela de "atualização do sistema" ou similar, tendem a esperar sem interagir com nada, dando aos cibercriminosos todo o tempo do mundo para agir.
Outra característica particularmente preocupante é a capacidade do ClayRat de desbloquear o dispositivo automaticamenteQuer você use um PIN, senha ou padrão, isso, combinado com a gravação de tela e o registro de teclas digitadas, proporciona controle total do dispositivo móvel sem que o usuário precise inserir suas credenciais repetidamente.
Em campanhas recentes, o ClayRat se espalhou por pelo menos 25 países. Domínios de phishing que imitam serviços legítimos como o YouTube.Promovendo uma suposta versão "Pro" com reprodução em segundo plano e suporte a 4K HDR. Os usuários baixam o aplicativo acreditando ser uma versão premium e, sem saber, instalam o spyware.
Também foram encontrados Aplicativos que instalam aplicativos falsos, disfarçados de aplicativos de táxi e estacionamento. Em regiões como a Rússia, esses aplicativos falsos atuam como veículos de instalação para o ClayRat, de forma semelhante ao modelo usado pelo FvncBot, onde um aplicativo aparentemente inofensivo baixa ou ativa o componente malicioso real.
O malware pode gerar notificações falsas e interativas que aparentam vir do sistema ou de aplicativos legítimos, com o objetivo de coletar respostas do usuário (por exemplo, códigos, confirmações de operação ou permissões adicionais) sem que o usuário perceba que está interagindo com uma interface controlada pelo atacante.
Comparada às versões anteriores, a nova variante do ClayRat é muito mais difícil de remover: seus mecanismos de persistência e sua Capacidade de camuflar sua atividade por meio de sobreposições e bloqueio de tela. Eles fazem com que o usuário tenha menos oportunidades de desinstalar o aplicativo ou desligar o dispositivo a tempo.
Essas características, combinadas com a suspeita de que possa estar ligado a grupos APT com possível patrocínio estatalIsso faz do ClayRat uma das ferramentas de spyware móvel mais perigosas da atualidade, especialmente em ambientes corporativos com políticas de BYOD (Bring Your Own Device - Traga Seu Próprio Dispositivo), onde os funcionários usam seus celulares pessoais para acessar sistemas internos.
Técnicas comuns: acessibilidade, sobreposições e evasão avançada.
Embora FvncBot, SeedSnatcher e ClayRat tenham objetivos diferentes (bancos tradicionais, criptomoedas ou espionagem avançada), eles compartilham um conjunto de características. táticas e técnicas principais O que explica por que eles estão obtendo tanto sucesso em campanhas reais.
Em primeiro lugar, o abuso dos serviços de acessibilidade do Android Tornou-se a pedra angular dos malwares modernos. Essa funcionalidade, originalmente concebida para ajudar pessoas com deficiência a interagir com o dispositivo, permite ler o conteúdo da interface, detectar alterações na tela e automatizar ações, o que é extremamente útil… tanto para a usabilidade quanto para o cibercrime.
Outro elemento comum é o uso intensivo de sobreposições para se passar por aplicativos legítimosAo sobrepor uma tela falsa a um aplicativo real — seja ele um banco, uma carteira de criptomoedas ou um serviço popular — os invasores podem capturar credenciais, dados pessoais e qualquer informação inserida pelo usuário, sem precisar comprometer diretamente o aplicativo alvo.
Além disso, esses Trojans se integram técnicas avançadas de evasão para complicar sua análise e detecção; aprenda a Analise malware com o Google Play ProtectOfuscação de código, serviços de criptografia externos como o apk0day, carregamento dinâmico de classes que são baixadas do servidor de comando e controle somente quando necessário, e até mesmo instruções de comando baseadas em números inteiros para tornar o tráfego menos óbvio.
A comunicação com os servidores dos atacantes também se tornou mais sofisticada. O uso de Firebase Cloud Messaging para receber pedidosO estabelecimento de conexões WebSocket para controle em tempo real e a exfiltração discreta de dados via HTTP ou HTTPS fazem com que o tráfego malicioso se misture ao tráfego legítimo, dificultando sua identificação em redes corporativas ou domésticas.
Tudo isso é combinado com um Trabalho de engenharia social muito bem elaborado.Esses aplicativos se disfarçam de componentes do Google Play, aplicativos de segurança, ferramentas bancárias oficiais, versões "Pro" de plataformas populares como o YouTube ou serviços muito procurados, como táxis e estacionamento. O objetivo é baixar a guarda do usuário e convencê-lo a conceder permissões críticas sem pensar duas vezes.
Como proteger seu dispositivo Android contra FvncBot, SeedSnatcher e ClayRat
Nenhuma medida é infalível, mas aplicar boas práticas básicas reduz drasticamente a probabilidade de cair em golpes como os de FvncBot, SeedSnatcher ou ClayRatMuitos ataques dependem da negligência do usuário e de dispositivos mal configurados.
A primeira regra é óbvia, mas continua sendo a mais eficaz: Instale apenas aplicativos de fontes confiáveis., como o Google Play ou os sites oficiais dos fornecedores, e Confira listas de aplicativos perigososBaixar arquivos APK a partir de links em fóruns, canais do Telegram ou páginas que prometem versões gratuitas de aplicativos pagos é, atualmente, um dos principais pontos de entrada para malware em dispositivos móveis.
Também é essencial Mantenha seu sistema operacional e aplicativos sempre atualizados.O Google e os fabricantes lançam frequentemente atualizações que corrigem vulnerabilidades de segurança, e muitos Trojans exploram falhas conhecidas que poderiam ser evitadas simplesmente instalando as versões mais recentes disponíveis.
O gerenciamento de senhas e autenticação é outro ponto crítico. Use Chaves fortes, exclusivas para cada serviço, e habilitam a autenticação em duas etapas (2FA). Em sistemas bancários, e-mail, redes sociais e plataformas de criptomoedas, isso adiciona uma camada extra de proteção, embora, como vimos, alguns malwares também tentem roubar códigos de autenticação de dois fatores (2FA) via SMS.
Sempre que possível, é aconselhável optar por Métodos de 2FA mais robustos, como aplicativos de autenticação ou chaves de segurança físicas, em vez do tradicional SMS, que é mais fácil de ser interceptado por malware como o SeedSnatcher.
Outra dica fundamental é revisar o texto com calma. permissões solicitadas pelos aplicativosSe um aplicativo que supostamente permite assistir a vídeos, verificar a previsão do tempo ou gerenciar o estacionamento solicitar acesso total a mensagens SMS, serviços de acessibilidade, contatos ou administração do dispositivo, desconfie. Muitos ataques dependem de usuários que clicam em "Aceitar" sem ler os termos.
No ambiente corporativo, as organizações devem implementar políticas de gerenciamento de dispositivos móveis (MDM)Limite a instalação de aplicativos não autorizados e realize auditorias regulares para detectar comportamentos suspeitos. Além disso, é essencial treinar os funcionários para reconhecer tentativas de phishing, seja por SMS, e-mail ou mensagens instantâneas.
Para usuários avançados, pode ser útil combinar as medidas acima com soluções específicas de segurança móvel que analisam o comportamento dos aplicativos, detectam abusos de acessibilidade e verificam continuamente a integridade do dispositivo. No entanto, nenhuma ferramenta técnica pode substituir o bom senso na hora de instalar e usar aplicativos.
Em nível pessoal, é aconselhável adotar certos hábitos: Desconfie de links inesperados e verifique os URLs de sites que solicitam credenciais.Evite inserir frases de recuperação ou dados bancários em telas que aparecem após a instalação de aplicativos desconhecidos e, em caso de dúvida, entre em contato diretamente com a entidade ou o serviço pelos canais oficiais.
O surgimento do FvncBot, do SeedSnatcher e do ClayRat reformulado demonstra que A frente de batalha agora é móvel. Com a mesma ou até maior intensidade que em um computador desktop, a combinação de abuso de acessibilidade, sobreposições sofisticadas, controle remoto do tipo VNC e evasão avançada significa que qualquer descuido pode resultar em roubo de dinheiro, esvaziamento da carteira ou exposição completa da vida digital de alguém. Reconhecer que o celular é um alvo prioritário e agir de acordo — tendo cuidado com o que instalamos, quais permissões concedemos e como gerenciamos nossas contas — tornou-se um elemento fundamental da segurança diária.
