# Hydra Trojan > Tipo: **banking trojan** (Android) · [ThreatFabric / Cyble Research] ## Descrição [[hydra-trojan|Hydra]] é um trojan bancário para Android identificado em 2019 pela ThreatFabric, com múltiplas campanhas ativas documentadas até 2023. O malware é distribuído principalmente via aplicativos falsos - incluindo aplicativos fraudulentos de bancos, players de mídia e atualizações de sistema - em lojas de aplicativos não-oficiais e via links de phishing. O Hydra solicita permissões extensas de Accessibility Services do Android para realizar ataques de overlay, keylogging e controle remoto do dispositivo, tornando-o uma ameaça abrangente para usuários de banking mobile. A principal capacidade do Hydra é o ataque de overlay: o malware exibe telas falsas sobre aplicativos bancários legítimos para capturar credenciais e dados de cartão de crédito. Adicionalmente, intercepta SMS para bypassar autenticação de dois fatores baseada em OTP, acessa lista de contatos para propagação social e rastreia localização GPS. Versões mais recentes do Hydra incorporaram recursos de VNC remoto - similar ao [[hookbot|HookBot]] - permitindo aos operadores interagir diretamente com o dispositivo comprometido para realizar transações fraudulentas em tempo real. O Hydra opera como MaaS (Malware-as-a-Service) em fóruns underground, com diferentes versões e planos de assinatura disponíveis para grupos de crime cibernético. Sua lista de aplicativos-alvo é regularmente atualizada para incluir novos bancos e aplicativos financeiros, incluindo aplicativos de bancos europeus, turcos, espanhóis e latino-americanos. A capacidade de download de novos módulos em tempo de execução permite que os operadores atualizem as capacidades do malware já implantado sem necessidade de reinstalação. **Plataformas:** Android ## Técnicas Utilizadas - [[t1417-001-keylogging|T1417.001 - Keylogging]] - [[t1417-002-gui-input-capture|T1417.002 - GUI Input Capture]] - [[t1636-004-sms-messages|T1636.004 - SMS Messages]] - [[t1433-access-contact-list|T1433 - Access Contact List]] - [[t1430-location-tracking|T1430 - Location Tracking]] - [[t1521-001-web-protocols|T1521.001 - Web Protocols]] - [[t1407-download-new-code-at-runtime|T1407 - Download New Code at Runtime]] ## Detecção A detecção do Hydra no Android foca em comportamentos de Accessibility Services e SMS. Soluções de MTD (Mobile Threat Defense) identificam aplicativos que usam Accessibility Services para monitorar outros aplicativos - comportamento incomum para aplicativos legítimos não relacionados a acessibilidade. Bancos devem implementar detecção de overlay em seus aplicativos (verificando se há jánelas sobrepostas durante sessões bancárias). A interceptação de SMS por aplicativos não-padrão pode ser detectada por análise comportamental do dispositivo. > [!warning] Alta Prevalência no Brasil > O Hydra e variantes similares são detectados regularmente no Brasil. O CERT.br e fornecedores de segurança públicam regularmente alertas sobre campanhas ativas. ## Relevância LATAM/Brasil O Hydra é diretamente relevante para o Brasil, que tem um dos maiores mercados de banking mobile do mundo. Pesquisadores da Kaspersky e Cyble documentaram variantes do Hydra específicamente configuradas com aplicativos bancários brasileiros como alvo. Campanhas de distribuição via WhatsApp e SMS no Brasil usando lures de atualização de conta bancária são frequentes. O [[febraban|Febraban]] e o Banco Central monitoram ativamente esse tipo de ameaça e públicam alertas e recomendações de segurança para usuários bancários. ## Referências - [ThreatFabric - Hydra: New Android Banking Malware](https://www.threatfabric.com/blogs/hydra-a-new-variant-of-bankbot.html) - [Cyble - Hydra Banking Trojan Targeting Brazil](https://blog.cyble.com/2022/12/14/hydra-banking-malware/)