Novo vírus no Android tem como alvo brasileiros e pode limpar contas bancárias 23/05/2020

Especialistas da empresa de segurança de computadores ESET identificaram um novo aplicativo de fraude na loja Google Play no sistema Android. Segundo a análise realizada pela empresa, o malware atacou os brasileiros e tomou “ações terríveis”, levando a uma possível limpeza da conta bancária das vítimas.

O aplicativo em questão é chamado Defender ID e tem como objetivo proteger os telefones celulares. Foi lançado em 3 de fevereiro de 2020 e foi atualizado pela última vez em 6 de maio. Ele não está disponível na loja de aplicativos desde 19 de maio, depois que a ESET alertou o Google.

A ação do malware foi enorme. Pode, por exemplo, excluir a conta bancária da vítima, dependendo das soluções de segurança adotadas pelos bancos ou de uma carteira de criptomoeda. Além disso, poderia seqüestrar contas de e-mail e mídias sociais.

Como o aplicativo funcionou

O aplicativo se infiltrou na loja sob uma precaução que permitiu reduzir sua superfície maliciosa, ocultando suas funções maliciosas e eliminando todos os recursos perigosos possíveis, exceto um: abusar do serviço de acessibilidade.

Apesar de estar equipado com recursos para roubo de informações, segundo a ESET, o Trojan bancário era muito perigoso, após a instalação, exigiu apenas uma ação da vítima: ativar o serviço de acessibilidade do telefone celular. Somente após concluir esta etapa, os recursos maliciosos foram totalmente desbloqueados.

Embora as soluções de segurança da loja do Google possam detectar o uso combinado de serviços de acessibilidade junto com outras permissões, funções suspeitas ou recursos maliciosos, no caso do Defensor ID, todos eles não puderam gerar alarmes, pois não havia funcionalidade permissões adicionais ou outras.

O nome do desenvolvedor do aplicativo era “GAS Brasil”, sugerindo que o ataque foi direcionado a brasileiros. O nome do aplicativo reflete isso ao mostrar o relacionamento com a solução de segurança “GAS Tecnologia”, geralmente instalada em computadores no Brasil devido a requisitos bancários on-line.

Após o download, o Defensor ID solicitou as seguintes permissões:

  • Modifique as configurações do sistema,
  • Mostrar em outros aplicativos,
  • Ativar serviços de acessibilidade.

Se receberem permissões, o malware poderá ler qualquer texto exibido em qualquer aplicativo iniciado pelo usuário e enviá-lo aos invasores. Isso significa a capacidade de roubar as credenciais da vítima para efetuar login, visualizar emails, além de obter chaves de criptomoeda e até códigos de autenticação de dois fatores.

O roubo de credenciais e o acesso a mensagens e códigos de autenticação permitiriam que o aplicativo ignorasse as proteções usuais que pessoas cuidadosas aplicam aos smartphones e serviços. Isso poderia, por exemplo, permitir que hackers tivessem controle total da conta bancária da vítima.

A ESET também observou que os cibercriminosos deixaram o banco de dados remoto com alguns dos dados da vítima acessíveis, sem autenticação. Esse banco de dados continha atividades mais recentes em cerca de 60 dispositivos comprometidos.

You May Also Like

About the Author: Paulo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *