Malware bancário para Android pode roubar dados de mais de 460 aplicativos

Uma nova versão do malware bancário ERMAC já atinge 467 aplicativos de instituições financeiras ao redor do mundo, entre softwares de bancos, carteiras digitais e de criptomoedas. A praga atua roubando credenciais e as enviando de volta aos criminosos, inclusive de instituições com atuação no Brasil, e costuma vir disfarçada por trás de versões falsas de softwares conhecidos.

• Crimes com PIX em SP crescem mais de 200% no 1º trimestre de 2022
• Criminosos têm novas táticas para roubar dados de cartão de crédito

Foi assim em uma das primeiras campanhas em grande escala detectadas com o ERMAC, focada em usuários da Polônia. De acordo com informações da empresa de segurança ESET, o malware foi disfarçado como o Bolt Food, um software popular de delivery do país, e era entregue a partir de um site fraudulento, que induzia ao download da solução maliciosa a partir de e-mails de phishing, postagens em redes sociais e anúncios contaminados em mecanismos de busca.

Uma vez instalado, o ERMAC varre o dispositivo da vítima em busca de apps de interesse que estejam instalados e envia essas informações a um servidor sob o comando dos criminosos. É por essa infraestrutura, também, que a praga recebe as ordens para agir, inserindo telas falsas sobre as legítimas, de forma que a vítima insira a senha em uma interface controlada pelos bandidos, que podem realizar operações por trás de falsas telas de carregamento.

Isso é possível devido ao abuso do Serviço de Acessibilidade do Android, um sistema que serve para facilitar o uso de aparelhos mas que vem cada vez mais sendo utilizado por bandidos em práticas desse tipo. O pedido de poucas permissões também ajuda a evitar que o usuário detecte problemas, enquanto em outros casos, o malware chegou a solicitar mais de 40 autorizações, incluindo também o acesso à câmera, galeria, gravador de áudio e toda a memória, indicando possíveis operações de furto de dados pessoais.

Nova versão do malware está em ação desde março

Segundo a ESET, a nova versão do ERMAC está disponível desde março deste ano e vem sendo vendida em fóruns da dark web, voltados ao cibercrime, por uma assinatura de US$ 5 mil por mês, aproximadamente R$ 24 mil. É um valor baixo para o alto poder de destruição da praga, principalmente devido à sua versatilidade, possibilitando o lançamento de campanhas contra usuários em escopo internacional.

Analistas da Cyble também se debruçaram sobre o malware e encontraram similaridades entre o ERMAC 2.0 e outro trojan bancário, o Cerberus. Por outro lado, os especialistas em segurança apontam que a praga pode não ser tão eficaz a partir da versão 11 do Android, uma vez que sistemas de segurança adicionais foram implementados, justamente, para dificultar a ação de criminosos que abusam do Serviço de Acessibilidade para roubar dados.

Ainda assim, segue a orientação de sempre para que os usuários evitem o download de aplicações fora da loja Google Play ou marketplaces oficiais de fabricantes. O ideal é ignorar solicitações que cheguem por e-mail, a não ser que você tenha certeza de que são legítimas, não clicando em links ou realizando downloads a partir de tais meios.

Além disso, vale a pena manter o sistema operacional sempre atualizado já que, como dito, aparelhos com suporte às versões mais recentes do Android não são tão suscetíveis a ataques desse tipo. Ainda, ter softwares de proteção e segurança instalados ajuda a evitar as ameaças mais comuns contra os smartphones.

Fonte: ESET (Twitter), Cyble