# Anubis Banking Trojan > [!high] Trojan Bancário Android com Capacidades RAT e Ransomware > Anubis é um trojan bancário para Android que surgiu em 2016 e evoluiu para incluir acesso remoto completo, interceptação de SMS/OTP, sobreposição de telas falsas e funcionalidade de ransomware. Visa mais de 300 instituições financeiras globalmente, incluindo bancos brasileiros. ## Visão Geral O Anubis Banking Trojan é um malware para dispositivos Android emergido em 2016, criado originalmente pelo ator "maza-in" em fóruns underground. Ao longo dos anos evoluiu significativamente, com variantes incluindo Anubis II, CometBot e MysteryBot - transformando-se de um ladrão de credenciais bancárias em uma plataforma completa de acesso remoto e vigilância. A mecânica central do Anubis baseia-se no abuso dos **Serviços de Acessibilidade** do Android. Após instalação via aplicativo trojanizado, o malware solicita permissão de acessibilidade ao usuário e, uma vez concedida, oculta seu ícone e passa a conceder automaticamente a si mesmo todas as permissões adicionais necessárias. O malware detecta quais aplicativos bancários estão instalados e apresenta sobreposições (overlays) falsas no momento em que o usuário abre cada app - capturando credenciais antes que cheguem à aplicação legítima. Os alvos do Anubis abrangem mais de 394 aplicativos únicos, incluindo apps de bancos brasileiros. Após o vazamento do código-fonte em fóruns underground, múltiplos atores independentes reutilizam o malware, amplificando sua disseminação global. > [!latam] Relevância para o Brasil > O Brasil é um dos países com maior adoção de mobile banking no mundo, com mais de 70% das transações bancárias via smartphone. O Anubis Banking Trojan representa ameaça direta ao [[financial|setor financeiro]] brasileiro: variantes focadas no mercado nacional foram documentadas visando aplicativos de grandes bancos brasileiros. A disseminação via lojas alternativas de APKs, grupos de WhatsApp e smishing com temas de comprovantes Pix, INSS e Receita Federal tornam o vetor de infecção altamente eficaz. O crescimento do Pix e carteiras digitais amplia a superfície de ataque para o ecossistema [[financial|fintech]] brasileiro. ## Descrição O Anubis Banking Trojan é um malware para dispositivos Android que emergiu em 2016, originalmente criado por um ator conhecido pelo apelido "maza-in" em fóruns underground. Ao longo dos anos, o malware evoluiu significativamente, com múltiplas variantes documentadas incluindo Anubis II, Anubis 2.1, Anubis 2.5, Anubis 3, CometBot, MysteryBot e LokiBot - transformando-o de um simples ladrão de credenciais bancárias em uma plataforma completa de acesso remoto e vigilância. A mecânica central do Anubis baseia-se no abuso dos **Serviços de Acessibilidade** do Android. Após a instalação via aplicativo trojanizado, o malware solicita permissão de acessibilidade ao usuário. Uma vez concedida, oculta seu ícone e se comúnica com o servidor de comando e controle via HTTPS, passando a conceder automaticamente a si mesmo todas as permissões adicionais necessárias sem interação do usuário. O malware então detecta quais aplicativos bancários estão instalados e apresenta sobreposições (overlays) falsas ao usuário no momento em que abre cada app - capturando credenciais antes que cheguem à aplicação legítima. Os alvos do Anubis abrangem mais de 394 aplicativos únicos em sua variante mais avançada, incluindo aplicativos de bancos, carteiras de criptomoedas, aplicações de varejo e plataformas de negócios. O código malicioso contém os nomes dos pacotes alvo codificados diretamente no binário. Além de bancos europeus e norte-americanos, variantes documentadas incluem apps de instituições financeiras brasileiras como alvos. O malware tornou-se "órfão" - isto é, seu código-fonte vaza nos fóruns underground e é reutilizado por múltiplos atores independentes, o que amplifica sua disseminação global. Para o Brasil e LATAM, o Anubis representa uma ameaça direta ao [[financial|setor financeiro]], especialmente dado o alto índice de bancarização digital brasileira e a popularidade de apps bancários como canais primários de transações. O crescimento do Pix e de carteiras digitais aumenta a superfície de ataque. Campanhas de phishing por SMS (smishing) e lojas de aplicativos de terceiros são os principais vetores de infecção no mercado brasileiro. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Collection | [[t1056-001-keylogging\|T1056.001]] | Captura de teclas digitadas pelo usuário | | Collection | [[t1412-capture-sms-messages\|T1412]] | Interceptação de SMS incluindo OTPs de autenticação | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de apps instalados, contatos, localização GPS | | Collection | [[t1113-screen-capture\|T1113]] | Gravação de tela e captura de screenshots | | Collection | [[t1517-access-notifications\|T1517]] | Acesso e interceptação de notificações do sistema | | Defense Evasion | [[t1521-encrypted-channel\|T1521]] | Comúnicação HTTPS com servidor C2 | | Impact | [[t1582-sms-control\|T1582]] | Envio de SMS em massa para propagação | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Bloqueio de dispositivo com nota de resgate | ## Grupos que Usam O Anubis não tem atribuição a um único grupo. Após o vazamento do código-fonte nos fóruns underground, múltiplos atores independentes o utilizam: - Cibercriminosos focados em [[financial|fraude financeira]] no Brasil e LATAM - Operadores de smishing que distribuem via SMS com links para lojas alternativas - Grupos que exploram o [[financial|setor financeiro]] da Europa, Ásia e América do Norte ## Detecção - Monitorar solicitações de permissão de **Acessibilidade** por aplicativos recém-instalados fora da Play Store oficial - este é o sinal de alerta primário do Anubis - Implementar **Mobile Threat Defense (MTD)** em dispositivos corporativos: soluções como Lookout, Zimperium zIPS ou Microsoft Defender for Endpoint detectam sobreposições maliciosas de UI - Alertar para apps com `RECEIVE_SMS`, `READ_SMS`, `SEND_SMS` combinadas com `SYSTEM_ALERT_WINDOW` - esta combinação de permissões é característica de trojans bancários Android - Aplicar política de **MDM** restringindo instalação de APKs de fontes desconhecidas em dispositivos corporativos e pessoais usados para acesso a sistemas bancários - Monitorar tráfego HTTPS de apps não autorizados para IPs externos - apps bancários legítimos comúnicam-se apenas com endpoints conhecidos e válidados ## Relevância LATAM/Brasil O Brasil é um dos países com maior adoção de mobile banking no mundo, com mais de 70% das transações bancárias realizadas via smartphone. O Anubis Banking Trojan representa uma ameaça direta a este ecossistema: seus overlays são personalizáveis para qualquer app bancário, e variantes focadas no mercado brasileiro foram documentadas visando aplicativos de grandes bancos nacionais. A disseminação via lojas alternativas de APKs, grupos de WhatsApp com "apps gratuitos" e smishing com temas de comprovantes de Pix, notificações do INSS e alertas da Receita Federal tornam o vetor de infecção altamente eficaz para o público brasileiro. O [[financial|setor financeiro]], [[government|governo]] e usuários do [[technology|setor de tecnologia]] devem implementar políticas de MDM e treinamento de usuários sobre riscos de apps fora da Play Store. ## Referências - [1](https://attack.mitre.org/software/) MITRE ATT&CK - Anubis Banking Trojan (Android) - [2](https://www.lookout.com/threat-intelligence/article/anubis-targets-hundreds-of-financial-apps) Lookout - Anubis Targets Hundreds of Financial Apps (2020) - [3](https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-malware/anubis-malware/) Check Point - What is Anubis Malware (2023) - [4](https://www.threatfabric.com/blogs/anubis_2_malware_and_afterlife) ThreatFabric - Anubis 2 Malware and Afterlife (2019) - [5](https://nordvpn.com/cybersecurity/threat-center/anubis/) NordVPN - Anubis Threat Center (2024) - [6](https://zimperium.com/glossary/anubis) Zimperium - Anubis Analysis (2024)