A equipe do Avast Threats Lab ajudou a fechar o cerco em volta da botnet* Geost, que vinha utilizando 13 servidores de comando e controle para executar centenas de domínios maliciosos.
A rede de bots era responsável por captar informações bancárias na Rússia até que, de forma irônica, uma falha de segurança expos toda a operação do grupo hacker envolvido, incluindo o que os cibercriminosos integrantes do grupo conversavam entre si on-line.
"Nós realmente tivemos uma visão sem precedentes de como uma operação como essa funciona", disse Anna Shirakova, pesquisadora da Avast, que ajudou a expor o grupo criminoso. "Como esse grupo fez algumas escolhas muito ruins na tentativa de ocultar suas ações, pudemos ver não apenas amostras do malware, mas também nos aprofundarmos no funcionamento do grupo".
O grupo usava uma infraestrutura complexa de dispositivos Android infectados, conectados à botnet Geost que os controlava remotamente.
Os invasores através de malwares, monitoravam mensagens de texto, SMS, para captar as informações bancárias, comunicavam-se com bancos e redirecionavam o tráfego dos dispositivos para sites falsos.
Um trabalho de pesquisa de Shirokova, Sebastian Garcia, da Universidade Técnica Tcheca, em Praga, e Maria Jose Erquiaga, da Universidade UNCUYO, forneceram uma visão ampla de como toda a operação criminosa funcionava devido a seus próprios erros de segurança durante o trânsito dos dados roubados.
Os hackers confiaram em uma rede proxy maliciosa e não conseguiram criptografar servidores de comando e controle, além de confiar em outros hackers que tinham um sistema de segurança ainda mais falho e, para facilitar ainda mais, trocavam mensagens entre eles em chats não criptografados.
A prepotência e a certeza da impunidade fez com que o grupo cometesse erros básicos que facilitaram sua descoberta.
"Em resumo, uma cadeia de pequenos erros foi suficiente para divulgar a operação de uma grande rede de bots bancários Android", escreveram os autores no trabalho de pesquisa.
As conversas captadas durante os bate-papos ofereceram uma oportunidade de ouvir o que praticamente todos os integrantes conversavam entre si, inclusive o descontentamento de alguns com o que estava sendo feito.
"A visão muito interessante das relações sociais dentro de um grupo de cibercriminosos clandestinos" envolveu mais de 6.200 linhas, abrangendo oito meses de bate-papos, e mostrou as conversas privadas de 29 pessoas envolvidas em diferentes operações.
Apesar de operar desde pelo menos 2016, a botnet Geost permaneceu desconhecida até que seu tráfego foi capturado pelo malware HtBot no servidor malicioso. Se isso não tivesse acontecido provavelmente o grupo ainda estaria lesando centenas de milhares de pessoas. Um malware expondo outro malware.
Os pesquisadores estão apresentando seu trabalho na conferência Virus Bulletin, em Londres. O Avast Threats Lab continuará monitorando diferentes aspectos da operação.
*botnet - grupo de computadores conectados à Internet, cada um deles rodando um ou mais bots e se comunicando com outros dispositivos, a fim de executar determinada tarefa.
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.