Quando se trata de uma vida fácil, os criminosos por trás do terrível malware bancário Anubis se tornaram grandes fãs do Twitter e, cada vez mais, das mensagens seguras do Telegram.

Não há nada novo no rastreamento de malware em serviços populares, mas por que o Twitter e o Telegram e a migração recente para mensagens seguras é significativa?

Como o SophosLabs explica em uma nova análise, a Anubis empresta esses serviços para hospedar as instruções de comando e controle (C2) que o malware procura após a primeira instalação em um sistema de destino.

O Twitter é atraente porque sua popularidade e onipresença significam que seus domínios são menos propensos a serem bloqueados pela filtragem da Web.

Apesar disso, a SophosLabs notou recentemente que a Anubis está migrando do Twitter para usar o Telegram quase que exclusivamente. Uma coisa estranha a se fazer.

Talvez a segurança interna do Twitter tenha sido melhor em atacar – bloqueando os domínios do Anubis tão rapidamente quanto eles estão configurados. Os criadores de malware sabem que isso vai acontecer em algum momento, mas se for em poucos minutos ou algumas horas, isso pode ser inconveniente.

Na verdade, o Telegram também é muito bom em suspender contas que abusam de seu serviço dessa maneira. No entanto, escreve o pesquisador do SophosLabs, Jagadeesh Chandraiah:

No momento em que o Telegram remover a conta que está sendo usada para o C2, é provável que várias vítimas já tenham instalado o malware e obtiveram o endereço inicial do servidor C2 na malévola conta do Telegram.

O fato de Anubis também usar os caracteres chineses como uma forma de ofuscação talvez ofereça uma pista para a motivação dos criminosos – é uma tentativa de comprar um pouco mais de tempo tornando as coisas mais complicadas para os analistas de malware.

Escondendo-se no telegram

Talvez os criminosos pensem que o uso do Telegram – um serviço que emprega criptografia de ponta a ponta para proteger suas mensagens de olhares indiscretos – manterá seu tráfego oculto.

Se assim for, eles estão errados. Embora as mensagens do Telegram enviadas para lá e para cá sejam criptografadas, os registros do sistema Android criados pelos aplicativos que lideram o Anubis não são. Estes, descobriu o SophosLabs, podem ser lidos com bastante facilidade.

Isso, pode-se argumentar, é uma quebra técnica de sorte. Uma versão futura pode revelar uma maneira de evitar deixar essa trilha clara, levando sua comunicação C2 para além do conhecimento dos pesquisadores.

Ter sua segurança emprestada para esconder coisas ruins é algo que é perseguido por plataformas como o Telegram quase desde o início. Também não é só: o WhatsApp, o Facebook Messenger e outros também foram implicados em momentos diferentes.

O que atrai os criminosos não é simplesmente a criptografia e a automação de bots dessas plataformas, mas o fato de que agora há muitos deles para escolher.

A maioria dos usuários escolhe uma plataforma de mensagens porque sabe que seus amigos a usam também. Os criminosos não enfrentam essas preocupações e podem migrar de uma plataforma de nicho para uma plataforma de nicho para combater a possibilidade de bisbilhoteiros e infiltrantes.

É uma das razões pelas quais houve chamadas para enfraquecer a criptografia oferecida por algumas dessas plataformas, mas na melhor das hipóteses isso apenas faria com que os criminosos se mudassem para novas plataformas, ou talvez até configurassem seus próprios.

Depois de três décadas de divulgação, uma boa criptografia está agora a caminho de se tornar algo que qualquer pessoa pode acessar, incluindo criminosos. Embora as back doors tenham pouca chance de reverter essa tendência, a pesquisa da SophosLabs destaca como o dispositivo em si ainda é uma grande fraqueza.

As APIs estão ao alcance de qualquer pessoa, assim como os dispositivos dos quais esses aplicativos seguros devem operar.

Com informações do Naked Security.