Publicidade

Malware bancário para Android se disfarça de antivírus na Play Store

Por| Editado por Claudio Yuge | 07 de Março de 2022 às 17h20

Link copiado!

Pixabay/neotam
Pixabay/neotam

Uma nova categoria de malware bancário, descoberta no final de 2021, deu as caras na Google Play Store se passando por quatro opções de antivírus para o sistema operacional Android. O SharkBot, como foi chamado pelos pesquisadores, tem capacidades avançadas, sendo capaz de simular os toques do usuário em apps bancários para realizar transferências aos golpistas, enquanto intercepta notificações como forma de burlar a autenticação em duas etapas e disseminar os ataques para contatos da vítima.

Originalmente, o SharkBot apareceu em outubro de 2021, em um relatório de segurança da Cleafy. Agora, uma versão reduzida, mas com capacidades de download de pragas avançadas, apareceu na loja oficial do Android e foi flagrada pelos especialistas do NCC Group. Eles indicam uma campanha que ainda estava em suas etapas iniciais, com direito a comentários falsos de supostos usuários, mas pelo menos 50.000 downloads registrados entre as diferentes versões disponibilizadas.

Disfarçada de antivírus e limpador de arquivos para o smartphone, a praga na realidade se mantinha oculta, podendo baixar uma versão mais completa do SharkBot ou esperar pelo acesso do usuário a apps bancários. Ao detectar tal uso, o malware registrava elementos da tela, digitação de credenciais e o caminho de diferentes operações realizadas pelo usuário, que mais tarde, eram realizadas de forma automática devido à permissão dada pela vítima aos sistemas de acessibilidade do Android, caminho que está se tornando cada vez mais comum para pragas desse tipo.

Continua após a publicidade

É uma técnica chamada Sistema de Transferência Automática (ATS, na sigla em inglês), que diferente da maioria dos trojans dessa categoria por não exigir programações específicas, no caso de automação, e muito menos uma ação manual de criminosos a partir de um servidor de controle. Em vez disso, os campos são preenchidos automaticamente de acordo com a utilização da vítima e, uma vez que um determinado patamar é atingido, o envio de dinheiro pode ser simulado ou, então, o download de soluções maliciosas mais perigosas.

Além disso, como nas soluções maliciosas comuns desse estilo, o SharkBot também é capaz de inserir telas de login falsas sobre as legítimas, induzindo os usuários a inserirem suas informações de acesso. Novamente, o app é capaz de identificar quais apps bancários ou financeiros estão instalados no celular, aguardando a vítima iniciar um deles para aplicar a página fraudulenta.

Chamou a atenção dos pesquisadores do NCC Group, ainda, a interceptação de notificações, tanto como forma de impedir que o usuário perceba um uso indevido quanto como forma de captar verificações em múltipla etapa. Além disso, alertas de apps de mensagens também podem ser usados para disseminar a praga, a partir de um link encurtado e contados genéricos com pessoas que já conhecem a vítima e, por isso, podem acabar clicando sem notarem se tratar de um golpe. A presença na Google Play Store ajuda a dar essa aparência de legitimidade à ação.

Continua após a publicidade

Cuidados contra uma campanha em andamento

A praga estaria disponível na Play Store desde o início de fevereiro, sendo flagrada pelos especialistas na última segunda-feira (28). Duas das quatro versões disponíveis na loja oficial já foram retiradas do ar, enquanto as outras ainda permanecem disponíveis; da mesma forma, quem baixou o malware durante sua presença no marketplace segue vulnerável aos golpes envolvendo o SharkBot.

Prestar atenção a desenvolvedores e soluções baixadas, mesmo de lojas oficiais, ajuda a evitar ser vítima de golpes desse tipo. Ao buscar antivírus, plataformas de segurança e qualquer outro app, prefira opções reconhecidas e lançadas por desenvolvedores certificados, evitando instalar softwares que tenham baixo número de downloads e poucas avaliações. Manter apps de proteção legítimos instalados e atualizados também ajuda na proteção contra ameaças conhecidas.

Fonte: NCC Group