Tudo sobre Rotexy Trojan

O Mobile Malware Rotexy, um híbrido de bloqueador de ransomware e trojan bancário, está expandindo seus membros. Em agosto e setembro, alguns dos especialistas registraram mais de 40.000 tentativas para incorporar esse aplicativo malicioso em smartphones Android. Embora algumas das informações técnicas e outros detalhes sejam conhecidos pelo mundo, falaremos sobre a infecção em detalhes junto com a solução para se livrar dela gratuitamente.

Então vamos começar!

Como funciona o Trojan bancário Rotexy?

O Rotexy usa SMS incluindo o link de download de um aplicativo com texto atraente que incentiva as pessoas a clicar nos links e baixar o aplicativo. Se o SMS enviado vier de um número desconhecido, ele é ignorado, no entanto, quando você recebe esse SMS do número de um amigo, é quando as pessoas clicam no link.

Depois que o dispositivo é infectado, o Trojan começa a preparar a estrutura para a próxima etapa. O Rotexy identifica primeiro qual dispositivo foi infectado, para que possa impedir o trabalho dos pesquisadores de antivírus. Se o malware identificar que está funcionando em um emulador, ele passará pelo processo de inicialização do aplicativo repetidamente.

Antes que o trojan comece a funcionar, ele inspeciona se o dispositivo atende aos requisitos básicos. Uma vez feito, ele pede direitos de administrador. Provavelmente o usuário não dará permissão, no entanto, os pop-ups aparecerão repetidamente e o usuário não poderá usar o dispositivo. Assim que a permissão for concedida, o Rotexy notificará que o aplicativo não foi carregado e ocultará o ícone.

Na próxima etapa, o malware entra em contato com seus proprietários e fornece informações sobre o smartphone. Em troca, recebe instruções junto com uma coleção de textos e modelos. O Rotexy chega ao servidor C&C, no entanto, os hackers criaram outras maneiras de enviar instruções, como via SMS ou Google Cloud Messaging.

Rotexy, o ladrão de SMS

Sempre que uma mensagem é recebida em um smartphone infectado. O malware ativa o modo silencioso no dispositivo para que a vítima não possa ouvir o toque de notificação de SMS recebido. Uma vez recebida uma mensagem, ele intercepta o SMS e o compara com os modelos recebidos do servidor C&C. Se algo interessante, como os últimos dígitos de um número de cartão de uma notificação bancária, for encontrado, ele o manterá e o enviará para o servidor. Além disso, o malware pode interceptar e responder a essas mensagens: os modelos enviados por proprietários de malware têm textos de confirmação para quando são necessários.

Caso não haja nenhum modelo ou pedido recebido, o Rotexy salva toda a comunicação no dispositivo da vítima e a envia para os chefes. Além disso, se os cibercriminosos quiserem, o malware pode encaminhar um link para download para todos os contatos da lista telefônica.

Leia também: Informações privilegiadas sobre o Cavalo de Tróia

Rotexy – Trojan bancário

Principalmente, o malware rouba dados de cartões bancários para fornecer o máximo de lucro aos seus proprietários. Para isso, ele sobrepõe uma página de phishing na tela com o texto recebido com as ordens de interposição de SMS. A interface e a aparência da página podem ser diferentes a cada vez, mas o objetivo principal é informar ao proprietário do smartphone que uma transferência de dinheiro está esperando por ele e ele precisa fornecer os detalhes do cartão para obtê-la.

Além disso, para parecer genuíno, os desenvolvedores de malware têm uma verificação no caminho para verificar o número do cartão. Ele valida que o usuário está digitando o número correto do cartão. Depois disso, o Rotexy extrai os últimos quatro dígitos do número do cartão do SMS bancário que armazenou e o compara com os que o usuário digitou na página de phishing.

Caso não corresponda, o malware mostra um erro e solicita que o usuário insira os detalhes corretos do cartão.

Rotexy: Ransomware

Pode haver outra maneira pela qual o Rotexy se comporta. Bem, depende da instrução que recebe do servidor C&C. Em vez de mostrar a página de phishing, ele pode bloquear a tela do seu smartphone com uma janela ameaçadora pedindo ao usuário que pague uma multa pela “visualização regular de vídeos proibidos”.

Também mostra a “evidência” fotográfica que é um clipe pornográfico. Os cibercriminosos atuam como uma organização oficial, o Rotexy usa principalmente, “FSB Internet Control”.

Como se livrar do Trojan Rotexy?

Depois de ler tudo o que o Rotexy pode fazer, você deve estar pensando em como poderíamos nos livrar dele. Espero que você possa! Você pode desbloquear seu smartphone infectado. Como é mencionado, a Rotexy recebe pedidos por SMS. Portanto, o SMS não precisa vir de nenhum número específico, qualquer número de telefone ou dispositivo pode enviá-lo.

Portanto, se o seu telefone estiver bloqueado, você só precisa do telefone de alguém e enviar uma instrução. Você precisa enviar um SMS para o seu número com o texto “393838”.

Este SMS significa que é uma ordem para o malware alterar o endereço do servidor C&C para vazio e também deixará de obedecer aos cibercriminosos.

Então, novamente, envie um texto contendo “3458” para o seu número - isso impedirá o Trojan de acessar seu dispositivo usando direitos de administrador e, portanto, o trojan não terá mais controle sobre o seu dispositivo.

O terceiro SMS seria um texto “stop_blocker”: Esta instrução irá empurrar o Rotexy para remover o site ou banner bloqueando a tela.

Depois de seguir estas instruções, se o Trojan começar a agir novamente e solicitar os direitos de administrador do seu dispositivo, reinicie o smartphone no modo de segurança. Depois que o dispositivo reiniciar, vá para Aplicativos e notificações ou Gerenciador de aplicativos e remova o malware do seu dispositivo.

Nota: Este método funciona na versão atual do Rotexy, no entanto, pode não funcionar com as versões futuras.

Deve ler: TeleRAT: um novo cavalo de Tróia que rouba seus dados

Instruções para evitar que Rotexy e outros cavalos de Troia infectem seu dispositivo:

O processo acima mencionado é bastante complicado e também pode ser arriscado. Bem, se você ficar alerta e cuidar de algumas coisas, talvez não tenha que enfrentá-lo completamente.

Nunca clique em links suspeitos, nem que prometa dar 1 milhão de reais.

Baixe aplicativos apenas do Google Play.

Sempre instale um antivírus móvel confiável em seu telefone para mantê-lo sempre protegido.

Portanto, não importa em qual versão do Android você está trabalhando ou qual software você instalou, um clique em um link suspeito e seu dispositivo, seus dados bancários, tudo será roubado. Cuidado e fique sempre alerta!