Novo vírus no Android mira brasileiros e pode limpar contas bancárias...

Novo vírus no Android mira brasileiros e pode limpar contas bancárias

App, malicioso no Android tinha funções extremamente perigosas, Imagem

 

SEM TEMPO, IRMÃO

  • App malicioso presente na Google Play tinha funções perigosas, segundo ESET
  • Malware poderia dar acesso a contas bancárias de vítimas e expor login em apps
  • Trojan bancário estava presente na loja como simulação de app de segurança
  • Ele conseguiu esconder recursos perigosos para permanecer por meses na loja

Um novo aplicativo voltado a golpes foi identificado na loja Google Play, do sistema Android, por especialistas da empresa de cibersegurança ESET. Segundo a análise feita pela companha, o malware mirava brasileiros e tinha "ações terríveis", chegando até a uma possível limpeza da conta bancária de vítimas.

O aplicativo em questão tem o nome de Defensor ID e supostamente visava a proteção dos celulares. Ele foi lançado em 3 de fevereiro de 2020, sendo atualizado pela última vez no dia 6 de maio. Ele não está mais disponível na loja de aplicativos desde o dia 19 de maio, após a ESET alertar o Google.

A ação do malware era vasta. Ele poderia, por exemplo, limpar a conta bancária de vítimas a depender de soluções de segurança adotadas por bancos ou uma carteira de criptomoedas. Além disso, poderia sequestrar contas de emails e redes sociais.... 

Como o app agia...

O app se infiltrou na loja sob uma cautela que permitiu reduzir a superfície maliciosa dele, escondendo suas funções maliciosas e removendo todas as possíveis funcionalidades perigosas com exceção de uma: abusar do serviço de acessibilidade.

Apesar de ser equipado com recursos para roubo de informações, o que tornava o trojan bancário muito perigoso, segundo a ESET, era que, após a instalação, ele requeria uma única ação por parte da vítima: habilitar o serviço de acessibilidade do celular. Só após concluído este passo as funcionalidades maliciosas eram totalmente desbloqueadas.

Embora as soluções de segurança da loja do Google possam detectar o uso combinado de serviços de acessibilidade juntamente a outras permissões, funções suspeitas ou funcionalidades maliciosas, no caso do Defensor ID todas falharam em disparar alarmes, já que não havia funcionalidade adicional ou outras permissões.

O nome do desenvolvedor do app era "GAS Brazil", o que sugere que o ataque visava brasileiros. O próprio nome do aplicativo reflete isso ao mostrar o relacionamento com a solução de segurança "GAS Tecnologia", geralmente instalada em computadores do Brasil por exigência de bancos online.

  • Após o download,o Defensor ID solicitava as seguintes permissões:

  • Modificar as configurações do sistema.

  • Exibir em outros aplicativos.

  • Ativar serviços de acessibilidade.



Se concedidas as permissões, o malware poderia ler qualquer texto exibido em qualquer aplicativo iniciado pelo usuário e enviá-lo para os invasores. Isso significa a possibilidade de roubo de credenciais da vítima para feitura de logins, ver mensagens de email, além de obter chaves de criptomoedas e até códigos de autenticação em dois fatores

O roubo de credenciais e o acesso às mensagens e aos códigos de autenticação permitiriam que o app burlasse as proteções usuais que pessoas cuidadosas aplicam nos smartphones e serviços. Isso poderia permitir, por exemplo, que hackers tivessem controle total de conta bancárias da vítima.

ESET ainda notou que os cibercriminosos deixaram o banco de dados remoto com alguns dos dados das vítimas acessíveis, sem qualquer autenticação. Esse banco de dados continha atividades mais recentes executadas em cerca de 60 dispositivos comprometidos.


Comentários

Postagens mais visitadas deste blog

A Apple está adicionando o modo picture-in-picture ao Apple TV

iPhones 11 produzidos no Brasil já estão no mercado

A Sprint se une à AT & T e à Verizon em oferecer seu próprio dispositivo de rastreamento semelhante ao da Tile