Praga bancária para Android quer roubar dados de clientes brasileiros

Praga bancária para Android quer roubar dados de clientes brasileiros

Por Felipe Demartini | Editado por Claudio Yuge | 19 de Novembro de 2021 às 15h20
Divulgação/Kaspersky

Os brasileiros seguem sendo o alvo de grandes campanhas de contaminação e roubo de dados, com o trojan bancário BrazKing sendo o mais recente. A praga circula desde 2020 e, em sua nova versão, conta com novas técnicas que contornam mecanismos de segurança do sistema operacional Android e dificultam detecção por softwares de proteção enquanto substituem telas de login de aplicativos reais das instituições financeiras por versões controladas pelos criminosos.

Os apps de mensagem ou SMS são a porta de entrada, com links enviados em massa que levam o usuário a um site fraudulento, onde uma falsa mensagem de erro do Google é exibida. O texto avisa que o celular será bloqueado em alguns dias devido à falta de atualizações de segurança e oferece uma correção, que na verdade, realiza o download do BrazKing. Para que ele seja instalado, entretanto, a vítima precisa ter ativado a opção relacionada a fontes inseguras nas configurações do dispositivo.

Em vez de exigir diferentes permissões para realizar operações de captura de tela ou digitação, como muitos trojans do tipo, a praga se disfarça na tela de serviços de acessibilidade do sistema operacional. Novamente, o ataque se passa como atualização do Android, com direito a logo do Google no menu, e uma vez que é aceito, passa a rodar em segundo plano, entrando em contato com servidores de controle e obtendo informações do aparelho, como fabricante, versão do sistema e até especificações da tela, para atacar.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Trojan bancário Brazking chega disfarçado como uma falsa atualização para o Android e usa permissões de acessibilidade para substituir telas de login e detectar apps instalados, além de assumir controle do smartphone (Imagem: Reprodução/IBM Trusteer)

A análise feita pelos especialistas da IBM Trusteer, braço de segurança da informação da empresa de tecnologia, mostra os caminhos que os criminosos seguiram para evadir a detecção. Em atualizações recentes, por exemplo, o Android categorizou como suspeito o pedido de softwares pela lista de aplicativos instalados; então, para saber de quais bancos a vítima é cliente, o BrazKing utiliza técnicas de reconhecimento das imagens exibidas no display.

Uma vez que um aplicativo bancário é aberto, o trojan entra em ação, usando páginas falsas disponíveis nos servidores que são abertas sobre o software real a partir do navegador de internet. É aqui que dados como números de cartão, senhas e também informações pessoais são exigidas, às vezes na forma de campos de login fraudulentos e, em outras, como novos pedidos de checagens de segurança ou atualização de cadastros.

A praga também possui capacidade de registrar o que é digitado pela vítima e até interagir com apps a partir de comandos recebidos remotamente. No primeiro caso, o objetivo claro é o roubo de credenciais, enquanto no segundo, a ideia é usar uma técnica pouco usual para garantir permanência nos aparelhos.

Telas legítimas de apps bancários são substituídas por versões online pelo BrazKing, a partir de servidores controlados pelos criminosos (Imagem: Reprodução/IBM Trusteer)

O BrazKing não oculta seu ícone, mas caso detecte que o usuário está acessando o menu de configurações para desinstalar o app, usa a permissão dada a partir da tela de acessibilidade para pressionar o botão Home repetidas vezes, impedindo a ação. O mesmo também vale para tentativas de resetar o smartphone para as configurações de fábrica ou acessar softwares de segurança.

Praga bancária de brasileiros para brasileiros

Informações exibidas pelo IBM Trusteer mostram uma praga em evolução, que vem atuando em campanhas disseminadas em massa e com bastante eficácia desde o ano passado. O malware parece ser operado por criminosos do Brasil, inclusive, como indica uma lista de comandos do trojan bancário com uma série de códigos e informações em português; o uso de páginas de login falsas das instituições nacionais também é um forte indicativo de que os golpistas estão antenados com o mercado daqui.

A análise também ressalta a simplicidade de programação e atualização destas pragas, que podem rapidamente serem adaptadas em caso de mudanças dos parâmetros de segurança do Android. Na ascensão do uso de serviços bancários pelo celular e das transferências por meio do PIX, a fraude financeira se tornou elemento central na estratégia contra os usuários finais por pequenas quadrilhas, enquanto as maiores e mais especializadas se voltam cada vez mais ao ransomware.

A recomendação é de cautela no acesso a sites cujos links venham por SMS ou mensageiros instantâneos. O ideal é não clicar nem baixar nada que venha por estes meios, apenas realizando a instalação de softwares a partir de marketplaces oficiais e desenvolvedores certificados. Vale a pena, ainda, manter apps e o sistema operacional sempre atualizados, com soluções de segurança sempre ativas.

Fonte: IBM Trusteer

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.