Publicidade
Home
Notícias
Segurança

Trojan para Android imita app do INSS para roubar usuários no Brasil

Por  • Editado por Jones Oliveira | 

Compartilhe:
Kaspersky/Divulgação
Kaspersky/Divulgação

Um novo malware focado no Brasil, chamado BeatBanker, está usando um aplicativo falso do INSS para atacar celulares Android, transformando o aparelho em um centro de mineração de criptomoedas e roubando dados da vítima. O app fake é chamado INSS Reembolso, sendo encontrado em diversas versões diferentes.

Para entregar a versão fraudulenta, os cibercriminosos também emulam a Google Play Store com uma página web falsa chamada cupomgratisfood.shop. Junto ao aplicativo, no entanto, está um trojan com várias capacidades de extração de dados e instalação de malwares subsequentes.

BeatBanker e capacidades hackers

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
WhatsApp
Continua após a publicidade

Para escapar de detecção, o trojan utiliza inúmeras táticas: sua execução, por exemplo, é diretamente na memória do celular, não deixando traços no armazenamento. Como antivírus mobile buscam arquivos suspeitos, não encontrarão nada.

O agente malicioso também detecta se está em ambiente simulado, como uma máquina virtual, tática usada por antivírus e pesquisadores para identificar e estudar vírus. Caso note estar sendo analisado, o malware encerra as atividades na hora.

Ele também toca um áudio de cinco segundos em loop eterno, com volume baixíssimo, garantindo que o processo continue ativo: o sistema operacional entende que interromper áudios seria ruim para o usuário. Uma notificação fake de atualização do sistema fica fixada nas notificações, o que leva para outras etapas de invasão.

Ao clicar na notificação, o malware baixa um minerador de criptomoedas, que toma cuidado para não superaquecer o aparelho ou gastar demais a bateria. A comunicação com o servidor hacker é escondida entre comunicações legítimas do Firebase Cloud Messaging, da Google. O BeatBanker também instala um módulo bancário que pede permissões de acessibilidade para ganhar controle de todas as funções do celular.

Em outras versões, é entregue o BTMOB RAT, trojan de acesso remoto disponível para hackers como serviço (MaaS): em outras palavras, o acesso ao seu celular é vendido para outros cibercriminosos. O malware é capaz de gravar a tela, o teclado (keylogging), as câmeras e a localização da vítima.

Fonte: Securelist, Kaspersky