Novo golpe mistura phishing e ligações para contaminar celulares Android
Por Felipe Demartini | Editado por Claudio Yuge | 13 de Outubro de 2022 às 18h57
Uma mistura de técnicas conhecidas de ataque cibernético está sendo usada para contaminar smartphones Android com um malware bancário. Após induzirem as vítimas a cadastrarem seus celulares em sites fraudulentos, os criminosos entram em contato diretamente com elas para que instalem um aplicativo malicioso, capaz de roubar credenciais de acesso às contas em diferentes instituições financeiras.
Trata-se de um golpe direcionado, de acordo com os especialistas da empresa de segurança ThreatFabric. Clientes de bancos da Itália vêm sendo a principal vítima da onda de ataques que também envolve o uso de ferramentas customizadas, vendidas pelos criminosos para que até mesmo aqueles sem muita familiaridade com tecnologia possam aplicar o golpe. Tais kits permitem a criação fácil de páginas falsas em nome dos bancos italianos, além de registrar as vítimas que caírem na mensagem de phishing, notificando os malfeitores para que as ligações sejam realizadas.
O SMS original fala sobre a necessidade de atualização de cadastro ou de problemas com o acesso ao banco por telefone e solicita dados como o número do celular, agência, conta e até cartões de crédito. Depois, um criminoso se identifica como representante da instituição e orienta a vítima para que instale o Copybara, um trojan bancário que exibe telas sobrepostas e segue adiante no roubo de dados.
O malware é uma variação da família BRATA, que vem atingindo clientes brasileiros desde 2019 e também atende pelo nome de Joker — não confundir com a ameaça de mesmo nome, que usa apps falsos na Google Play Store para se disseminar desde o ano passado. No caso do Copybara, o método de roubo de dados é a inserção de telas sobrepostas falsas, nas quais informações inseridas pelos usuários vão diretamente para os servidores dos bandidos.
Da mesma forma, as telas também permitem que a praga realize operações bancárias nos próprios aplicativos em segundo plano, enquanto o utilizador vê a sobreposição. O Copybara traz, ainda, uma funcionalidade de acesso remoto que permite a instalação de novos aplicativos maliciosos, a substituição de texto em campos de cadastro e o recebimento de novos comandos a partir dos servidores de controle.
De acordo com os pesquisadores, os ataques do tipo TOAD (Entrega de Ataques Orientada por Telefone, na sigla em inglês) estão se tornando mais eficazes na medida em que o Google fortalece as estruturas de segurança do Android. Assim, a chance de sucesso é aumentada pela interação com o próprio usuário e, ainda que uma disseminação massificada seja impossível, os ganhos recorrentes também podem ser maiores.
Enquanto isso, a recomendação de segurança para os usuários é para que não cliquem em links que cheguem por SMS, WhatsApp e outros mensageiros instantâneos. Cadastros só devem ser preenchidos quando se tiver a certeza sobre a procedência da página, enquanto contatos por telefone, principalmente quando envolverem pedidos de dados ou instalação de apps, só devem ser atendidos a partir de telefones e contatos oficiais.
Fonte: Threat Fabric