Malware com programação simples pode atacar qualquer app bancário

Os malwares bancários de fácil programação estão se tornando, cada vez mais, a moda do momento no cibercrime, com o aumento nas infecções pelo Medusa na Europa e América do Norte sendo mais um exemplo disso. Com foco em países como Espanham Turquia e EUA, a praga que está sendo distribuída por meio de SMSs fraudulentos abusa dos serviços de acessibilidade do Android para roubar dados e realizar transações, enquanto é altamente customizável para atacar qualquer app financeiro.

• Dia da Internet Segura: reforce a atenção aos golpes e sua própria proteção
• Como identificar se um site é uma tentativa de phishing?

Basta uma simples alteração no código do Medusa, antes da distribuição, e a criação de telas falsas de login e outros atributos, para que as ações tenham efeito. Nas mensagens, a praga chega disfarçada de apps de empresas de frete como a DHL e Amazon ou versões liberadas de serviços de streaming, assim como atualizações do próprio sistema operacional. Basta uma permissão para que as atividades fraudulentas comecem a acontecer.

Por meio dos serviços de acessibilidade do Android, os bandidos podem analisar as notificações ou realizar ações em segundo plano, além de pesquisar pelos apps instalados. Screenshots podem ser tiradas para obtenção de credenciais, enquanto o uso de páginas falsas também propicia isso, além de permitir que ações sejam tomadas no próprio celular, na mão do usuário, enquanto ele aguarda vendo uma tela de carregamento inexistente, por exemplo.

Os especialistas da ThreatFabric, responsáveis pelo novo alerta envolvendo o Medusa, também chamado de TangleBot, e o citam como uma ameaça altamente capaz, que também pode registrar a digitação e gravar vídeo e áudio das câmeras ou microfones. O uso de serviços legítimos de distribuição de SMS e hospedagem de sites, bem como DNS dinâmicos, ajudam a aumentar a aparência de legitimidade e aumentar a penetração dos ataques.

Parceiros no crime

Os especialistas apontam também uma similaridade entre as dinâmicas de disseminação do Medusa e outro malware bancário recente, o FluBot. Também notória na Europa e América do Norte, a praga também usou sistemas de DNS dinâmico e hospedagens legítimas para se disseminar antes de aderir aos sistemas de distribuição de SMS.

Ainda que não seja possível afirmar que se trata de um trabalho de uma mesma quadrilha, as dinâmicas semelhantes mostram um nível de observação do mercado do cibercrime e, também, comprovam que as táticas funcionam. Tanto que as próprias contaminações pelo Medusa, que começaram na Turquia, agora se espalham por dois continentes, enquanto a capacidade de adaptação deve o levar a ainda mais regiões no futuro próximo.

Aos usuários, cabe a atenção quanto a mensagens que levem ao download de aplicações. Nunca baixe apps de fora das lojas oficiais do sistema operacional Android e desconfie de pedidos relacionados aos sistemas de acessibilidade do aparelho; o ideal é jamais clicar em links que cheguem por esses meios e ignorar os contatos completamente, enquanto mantém soluções de segurança sempre instaladas no celular.

Fonte: ThreatFabric