# BrasDex > Trojan bancario Android brasileiro descoberto pela ThreatFabric em 2022, parte de campanha multi-plataforma do grupo por tras do [[casbaneiro|Casbaneiro]]. Usa ATS (Automated Transfer System) e keylogging via Accessibility Services para fraude automatizada no sistema [[financial|PIX]]. ## Visão Geral **BrasDex** e um trojan bancario Android descoberto pela [[threatfabric|ThreatFabric]] em dezembro de 2022, operado pelo mesmo grupo responsavel pelo [[casbaneiro|Casbaneiro]] - malware bancario Windows amplamente ativo na América Latina. Representa a expansao natural do ecossistema criminoso do Casbaneiro para a plataforma mobile Android. O malware e **estritamente focado no Brasil**: verifica o SIM card do dispositivo e so ativa funcionalidades completas em dispositivos com operadoras brasileiras. Se detectar SIM estrangeiro, encerra sem contatar o C2. | Campo | Detalhe | |-------|---------| | Plataforma | Android | | Tipo | Banking Trojan com ATS | | Descoberta | Dezembro 2022 (ThreatFabric) | | Atribuicao | Grupo Casbaneiro | | Status | Ativo desde 2022 | | Foco geografico | Brasil exclusivamente | | Alvos | Apps de bancos brasileiros e sistema PIX | ## Como Funciona ### Keylogging via Accessibility Services Diferente de trojans que usam overlays (técnica que exige atualizacoes constantes), o BrasDex usa **keylogging via Android Accessibility Services** - abordagem mais flexivel e escalavel: - Intercepta todo texto digitado em apps bancarios-alvo - Captura credenciais sem exibir telas falsas - Funciona independentemente do layout ou versao do app bancario - Mais dificil de detectar por soluções tradicionais de MDM ### ATS - Automated Transfer System O ATS do BrasDex e descrito pela ThreatFabric como "avancado e flexivel": 1. Usa credenciais capturadas para autenticar no app bancario 2. Detecta saldo disponível para maximizar valor da fraude 3. Navega automaticamente pela UI do app bancario 4. Executa transferencias PIX sem interação do usuario 5. Registra status via eventos: START, PW, STUCK, ABORT O sistema permite execução condicional baseada em parametros (ex: so executar se saldo > R$ X), maximizando eficiencia operacional. ### Targeting Exclusivo ao Brasil ``` SIM Card check -> Operadora brasileira? SIM estrangeiro -> Encerra, sem contato C2 SIM brasileiro -> Ativa ATS completo ``` Esta verificação protege as operações do grupo de análise por pesquisadores fora do Brasil. ## Attack Flow ```mermaid graph TB A["📱 Vetor de Entrada<br/>Impersonando Santander BR<br/>ou app de configuracoes"] --> B["🔍 Verificação de SIM<br/>Operadora brasileira?<br/>Encerra se estrangeiro"] B --> C["🔧 Accessibility Services<br/>Keylogging configurado<br/>Monitoring de apps-alvo"] C --> D["🔑 Captura de Credenciais<br/>Input capture T1417<br/>Sem overlay - keylog direto"] D --> E["💰 ATS Fraude PIX<br/>Autenticação automatica<br/>Transferencia programatica"] E --> F["📊 Relatorio ao C2<br/>Compartilhado com Casbaneiro<br/>Desktop malware infraestrutura"] classDef delivery fill:#c0392b,color:#fff classDef check fill:#f39c12,color:#fff classDef persist fill:#8e44ad,color:#fff classDef collect fill:#e67e22,color:#fff classDef impact fill:#1a252f,color:#fff classDef c2 fill:#2980b9,color:#fff class A delivery class B check class C persist class D collect class E impact class F c2 ``` ## Timeline ```mermaid timeline title BrasDex - Contexto Historico 2022-Q1 : Grupo Casbaneiro expande para Android : Primeiras amostras BrasDex identificadas 2022-12 : ThreatFabric publica análise completa : Conexão com Casbaneiro confirmada 2023 : Campanhas continuadas : Impersonacao de Banco Santander BR 2024 : Evolução com novos apps-alvo : Parte do ecossistema PIX-targeting ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Input Capture | [[t1417-input-capture-android\|T1417]] | Keylogging via Accessibility Services | | Application Discovery | [[t1418-application-discovery\|T1418]] | Detecta apps bancarios brasileiros | | Input Injection | [[t1516-input-injection\|T1516]] | ATS executa transferencias PIX | | Foreground Persistence | [[t1541-foreground-persistence\|T1541]] | Manutenção de acesso continuo | | Masquerading | [[t1036-masquerading\|T1036]] | Impersona Santander BR e apps de sistema | | Screen Capture | [[t1513-screen-capture\|T1513]] | Monitoramento de tela para ATS | ## Relevância LATAM > [!latam] Impacto no Brasil > O BrasDex representa a expansão do ecossistema **Casbaneiro** para mobile — grupo com anos de operação no Brasil e LATAM. A verificação de SIM card nacional demonstra alto nível de especialização regional. Foco exclusivo no sistema PIX e bancos brasileiros, com infraestrutura C2 compartilhada entre desktop e mobile. O BrasDex e parte de um movimento mais amplo do ecossistema criminoso do [[casbaneiro|Casbaneiro]] - grupo com anos de operação no Brasil e LATAM - para a plataforma mobile. Esta conexão e significativa porque: - O grupo já possui infraestrutura C2 compartilhada entre desktop e mobile - O [[casbaneiro|Casbaneiro]] Windows já comprometeu centenas de organizacoes no Brasil - O BrasDex representa a evolução natural para seguir usuarios que migraram para mobile banking - Estima-se centenas de infeccoes com prejuizos de centenas de milhares de reais O foco exclusivo no [[financial|Setor Financeiro]] brasileiro e na verificação de SIM card nacional demonstra alto nivel de especializacao regional - o grupo conhece profundamente as particularidades do sistema bancario e PIX no Brasil. Apps bancarios brasileiros específicamente mapeados como alvo incluem instituicoes como [[itau|Itau]], [[bradesco|Bradesco]], e outros grandes bancos nacionais. ## Detecção e Defesa **Para usuarios:** - Verificar permissoes de Acessibilidade - apps bancarios legitimos nao precisam de acesso total - Instalar exclusivamente pela Google Play Store - Suspeitar de apps pedindo acesso a "Servicos de Acessibilidade" com justificativa vaga - Monitorar saldo e transações PIX diariamente **Para instituicoes:** - Mobile Threat Defense com detecção de abuso de Accessibility Services - Análise comportamental de sessoes: múltiplas acoes rapidas sequenciais sao indicador de ATS - Correlação com Intel sobre Casbaneiro Windows - mesma infra C2 pode indicar comprometimento multi-plataforma - Alertas para transações PIX para destinatarios novos em horarios incomuns **Indicadores:** - App Android solicitando `canRetrieveWindowContent=true` sem justificativa de acessibilidade - Comúnicação de rede para infraestrutura compartilhada com Casbaneiro (mesmos IPs/dominios) - ATS events: sequencias START-PW-ABORT em logs de aplicação ## Referências - [1](https://www.threatfabric.com/blogs/double-trouble-in-latam) ThreatFabric - Double Trouble in LATAM (análise primaria) - [2](https://thehackernews.com/2022/12/beware-cybercriminals-launch-new.html) The Hacker News - BrasDex Android Banking Trojan - [3](https://www.about-fraud.com/brasdex-a-new-brazilian-ats-android-banker-with-ties-to-desktop-malware/) About Fraud - BrasDex com ties ao desktop malware - [4](https://www.appdome.com/how-to/account-takeover-prevention/android-and-ios-trojans/detect-brasdex-trojan-in-android-apps/) Appdome - Detecção BrasDex --- **Ver também:** [[casbaneiro]] - [[pixpiraté]] - [[gopix]] - [[guildma]] - [[pixrevolution]] - [[financial|Setor Financeiro]] - [[_malware]]