Ladrão silencioso: novo vírus Android rouba suas criptomoedas sem você notar

Um novo malware para Android está drenando todo o conteúdo de carteiras de criptomoedas sem deixar qualquer vestígio.

• Vírus disfarçado de WhatsApp rouba SMS e códigos de verificação bancária
• Malware se disfarça de WhatsApp, TikTok e YouTube no Android para te espionar

A campanha foi identificada pela empresa de cibersegurança Cyfirma, que detectou um trojan bancário afetando usuários do sistema operacional do Google na Indonésia e outros países do sudeste asiático.

Embora tenha uma ação parecida com a de um malware comum, o novo software malicioso apresenta o diferencial de agir silenciosamente, já que foi projetado para desativar e ocultar qualquer tipo de notificação que alerte o usuário para movimentações suspeitas.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Com esse empecilho para detectar o roubo, a vítima não percebe que atividades criminosas, como transações e saídas de fundos, estão acontecendo na conta bancária em segundo plano, o que pode provocar grandes estragos.

Perigo disfarçado

Conforme identificado pela Cyfirma, o malware, que está sendo chamado de "Android/BankBot-YNRK", aproveita os recursos de acessibilidade do Android para permitir que os cibercriminosos obtenham controle absoluto do dispositivo.

É assim que dados bancários, senhas e chaves de criptomoedas são roubados pelos hackers sem que a vítima perceba, pois o software consegue ocultar suas atividades do usuário mesmo com uma possível reinicialização do aparelho.

Análises mais aprofundadas da empresa também detectaram que o trojan age principalmente em dispositivos com Android 13 e inferiores, que oferecem os elementos de permissões necessários para o acesso dos criminosos.

Apesar do relatório da Cyfirma não especificar exatamente como o malware está sendo distribuído, descobriu-se três amostras do software malicioso em páginas falsas que imitavam com precisão a interface do "Identitas Kependudukan Digital", nome dado à versão digital do documento de identidade na Indonésia.

A prática sugere, então, que o vírus chega até o dispositivo a partir da instalação manual de APKs quando o usuário faz o download fora das lojas oficiais de aplicativos. Assim que a instalação é finalizada, o malware pede autorização para acessar o dispositivo, usando a legitimidade governamental para enganar a vítima com uma simulação de verificação de dados pessoais.

Logo, enquanto faz o usuário esperar pela verificação, o software desativa todo e qualquer recurso de áudio, incluindo chamadas, notificações e mensagens. Em segundo plano, o vírus rouba informações bancárias para limpar carteiras de criptomoeda, além de cometer outros crimes durante a ação do malware.

Imagens em tempo real

Desativar alertas de notificação para passar despercebido não é a única ação preocupante do Android/BankBot-YNRK. A Cyfirma também descobriu que o malware tem a capacidade de capturar imagens em tempo real do dispositivo infectado.

Isso faz com que o criminoso por trás do ataque consiga mapear o layout dos aplicativos bancários no aparelho, localizando com facilidade as senhas e outros botões importantes para liberar o acesso. Assim, é possível automatizar tudo sem o consentimento do usuário, desde o roubo das credenciais de acesso da carteira até grandes transações bancárias.

Bitcoin, Ethereum, Litecoin e Solana estão entre alguns dos principais interesses do malware.

Leia também:

• Spyware, ransomware e ladrão de senhas: novo vírus para Android é "tudo em um"
• Malware para Android espiona apps de banco para roubar dados
• Novas proteções do Android não adiantam se o usuário cair neste golpe

Fonte: Dark Reading.