Publicidade

Malware bancário para Android já atingiu mais de 300 mil pessoas

Por| Editado por Claudio Yuge | 30 de Novembro de 2021 às 14h00

Link copiado!

Divulgação/ThreatFabric
Divulgação/ThreatFabric

Uma campanha de malware bancário em grande escala já atingiu mais de 300 mil usuários do sistema operacional Android a partir de aplicativos disponíveis na Google Play Store. As pragas chegam disfarçadas de aplicativos comuns e têm como foco o roubo de credenciais financeiras, usando táticas que ajudam a ocultar a fraude.

De acordo com o alerta emitido pela ThreatFabric, são quatro famílias de pragas em ação, sendo que uma delas, sozinha, já acumulou mais de 200 mil downloads a partir. Batizado de Anatsa, o malware utiliza os serviços de acessibilidade do Android para registrar digitações e capturas de tela de forma furtiva; o método também evita os pedidos de permissão que costumam ser detectados por plataformas de segurança e utilizadores mais atentos.

Apenas por meio de um leitor de códigos QR, os criminosos foram capazes de obter mais de 50 mil instalações da praga — a Anatsa também é a família com maior número de contaminações, com 200 mil registros de downloads a partir de seis apps maliciosos, que também incluem digitalizadores de documentos e apps de monitoramento de cotações de criptomoedas. Segundo os pesquisadores, o malware foi descoberto, inicialmente, em janeiro deste ano, mas sua atividade ganhou força em junho.

Continua após a publicidade

Alien, a segunda maior família a fazer parte da campanha, também parece ser a mais sofisticada, sendo capaz de roubar não apenas as credenciais bancárias, mas também códigos de autenticação em dois fatores. Aqui, foram mais de 95 mil instalações, sendo um app de monitoramento de exercícios o mais popular e sofisticado, com direito a um site que ajuda a dar maior aparência de legitimidade e também serve como servidor de comando para a praga.

As linhagens Hydra e Ermac completam a árvore familiar da campanha, acumulando uma soma de mais de 15 mil downloads. Neste caso, a ThreatFabric associa o desenvolvimento das ameaças a uma gangue cibercriminosa conhecida como Brunhilda, que também vem atacando usuários do sistema operacional Android desde o final do ano passado.

Escapando da detecção

Continua após a publicidade

Todas as pragas têm funcionamento semelhante, usando os sistemas de acessibilidade da plataforma para realizar as capturas de tela, conteúdos digitados e outras informações. Assim, também são capazes de evadir softwares de segurança e até mesmo a desconfiança dos próprios usuários, já que não precisam solicitar permissões avançadas e, muitas vezes, além das capacidades prometidas pelos apps.

Ao serem instalados, os malware passam a se comunicar com servidores de controle, enviando informações do dispositivo, assim como a versão do Android e dados de geolocalização do usuário, o que também permite que regiões específicas sejam alvo. A exploração maliciosa em si vem na forma de uma atualização para os aplicativos, com a promessa de novos recursos ou informações.

Os dados coletados são enviados de volta à infraestrutura dos criminosos, que passam a ter acesso aos dados financeiros das vítimas. Segundo o alerta, as primeiras versões dos aplicativos disponíveis na Play Store não possuíam essa característica maliciosa, enquanto todos efetivamente entregam os recursos prometidos, o que ajudou a criar uma face de credibilidade antes do lançamento dos golpes.

Continua após a publicidade

Os seguintes aplicativos foram utilizados pelos criminosos para entregar os malware. Todos já foram retirados do ar pelo Google:

  • QR Scanner 2021;
  • QR CreatorScanner;
  • Master Scanner Live;
  • GymDrop;
  • Gym and Fitness Trainer;
  • PDF Document Scanner;
  • CryptoTracker;
  • Protection Guard;
  • PDF AI: Text Recognizer;
  • Flow Division.

De acordo com os especialistas, os principais focos dos atacantes são os países da Europa, Estados Unidos e Austrália; os golpes envolvendo Hydra e Ermac também atingiram usuários na Ásia e América Latina. O Brasil não aparece na lista divulgada pela ThreatFabric, mas a relação de instituições e serviços mirados pelos golpistas incluem organizações com atuação no Brasil, como Santander, Mercado Livre, Grupo Cajamar e Itaú, assim como serviços como Gmail, Yahoo, Netflix e AliExpress.

Fonte: ThreatFabric