Cavalo de Troia para Android atinge usuários de apps de táxi e carona

Usuários de aplicativos de táxi e carona, como Uber, estão sujeitos a uma nova versão do cavalo de Troia chamado Faketoken. Antes direcionado para roubar dados de sistemas bancários instalados em dispositivos móveis, o vírus agora visa roubar informações armazenadas nos apps de transporte.

A recente versão foi identificada pela Kaspersky Lab. Essa nova fronteira do mercado de aplicativos está crescendo no mundo inteiro, por conta da alta demanda de usuários. Por isso, os hackers estão buscando esses alvos cada vez mais.

O interesse reside no fato de que esses apps armazenam mais do que dados pessoais, como também informações financeiras, como número de cartão de crédito para cobrança das viagens. O crescente uso e o tipo de informação relacionada transformaram esse serviço em um campo atraente para cibercriminosos, que cada vez mais ampliam as funcionalidades dos malwares para além do mobile banking.

O Faketoken funciona desta forma: o vírus rastreia os aplicativos dinamicamente e, quando o usuário abre um determinado app, uma tela é sobreposta por uma janela de phishing para roubar os dados do cartão bancário da vítima. O usuário nem percebe que está sendo roubado.

O trojan usa uma interface idêntica ao app original, com cores e formatos, sendo que a sobreposição é instantânea e totalmente invisível. A pesquisa da Kaspersky Lab notou que esse malware está atacando os serviços internacionais mais conhecidos de táxi e carona.

O recurso de sobrepor telas é muito comum em aplicativos móveis. Em 2016, uma versão do Faketoken atacou mais de 2.000 apps financeiros em todo o mundo com imitações de games e Adobe Flash Player.

Mas o malware tem outras funções também. Depois de instalado, ele capta os SMS do aparelho e redireciona para seus servidores de comando e controle. Essa ação permite que os criminosos tenham acesso às senhas de confirmação enviadas pelo banco ou a outras mensagens enviadas pelos serviços de táxi e carona.

E tem mais. A variante do Faketoken também é capaz de monitorar as chamadas de voz do usuário, gravá-las e transmitir a seus servidores.

Por enquanto, só na Rússia

Segundo a Kaspersky Lab, essa nova versão ainda está concentrada em usuários russos, mas seu alcance pode crescer à medida que for se disseminando. Essa trilha aconteceu do mesmo jeito em versões anteriores do Faketoken e de malwares voltados para bancos.

A empresa de segurança orienta os desenvolvedores de apps de táxi e carona a criar soluções de segurança dos usuários nas atualizações e novas versões dos aplicativos.

O Faketoken está expandindo suas ações em aparelhos com Android. O malware já foi detectado também em apps de reservas de viagens e hotéis, no Android Pay e Google Play Market.

A recomendação para se proteger do trojan é somente instalar apps de origem conhecida e usar uma solução de segurança para dispositivos móveis.