Vírus bancário para Android já atinge mais de 400 bancos de todo o mundo

Mais de 50 mil downloads e “suporte” a mais de 400 bancos de todo o mundo, além de carteiras de criptomoedas e fintechs. Poderiam ser os dados de uma solução financeira das boas, mas são os números relacionados ao Xenomorph, um malware bancário altamente modular que, em sua versão mais recente, atinge as principais instituições de todo o mundo, incluindo os principais nomes do setor no Brasil.

• Novo malware bancário mira o Brasil para roubar Pix
• Golpes com vírus bancários para celular quase dobraram em 2022

Bancos como Bradesco, Itaú, Santander e Caixa aparecem entre as mais de 400 instituições atingidas pelo Xenomorph, que tem países como Espanha, Turquia, Polônia, Estados Unidos e Austrália como seus cinco maiores alvos. Além disso, em todo o mundo, fazem parte do rol de organizações empresas de criptomoedas como Binance, Gemini, Coinbase e BitPay.

A praga que atinge o sistema operacional Android está em sua terceira e mais avançada versão, sendo distribuída a partir de aplicativos fraudulentos na Google Play Store. Segundo informações da empresa de cibersegurança ThreatFabric, o foco dos desenvolvedores da ameaça, além do lucro financeiro a partir da venda do malware como serviço em fóruns cibercriminosos, está a automação de toda a cadeia de fraudes financeiras, da contaminação de smartphones até o roubo de credenciais e o desvio de fundos dos clientes.

Como a maioria das ameaças contra a plataforma, o Xenomorph atua abusando dos Serviços de Acessibilidade do Android, por meios dos quais é capaz de exibir telas sobrepostas e obter códigos de autenticação em notificações. A chamada terceira geração do malware segue se espalhando a partir da loja Google Play na forma de um conversor de valores em criptomoedas, mas uma vez instalada no sistema, muda seu ícone para o do serviço Play Protect, do próprio Google, como forma de manter sua presença mais oculta.

O que mais chamou a atenção dos especialistas da ThreatFabric, entretanto, foi a operação autônoma da nova versão do Xenomorph, bastando que o operador do malware envie scripts com listas de ações para que o malware faça tudo de forma independente. Tais ações são possíveis a partir de um framework disponibilizado pela quadrilha responsável pelo Xenomorph, a chamada Hadoken Group, que não mais exige que os responsáveis pelo ataque enviem comandos remotos específicos para cada ataque a ser realizado.

Além disso, outro destaque ofensivo é a possibilidade de registrar códigos de autenticação em duas etapas gerados por aplicativos, uma medida que mantém a efetividade dos golpes diante do abandono do SMS como meio de verificação pelas instituições financeiras. Enquanto isso, um sistema de priorização e condicionamento de ações garante ainda mais furtividade, permitindo que os atos criminosos aconteçam, por exemplo, somente em horários específicos ou nos momentos em que o usuário não estiver utilizando o celular.

Com direito a sites e publicações promovendo o malware e uma distribuição em massa de ataques após etapas de testes, a ThreatFabric considera o Xenomorph como uma ameaça a ser considerada no ecossistema Android. Ela já era encarada como tal há um ano, quando foi detectada pela primeira vez, e com o avanço das duas capacidades, deve se tornar um perigo ainda maior aos usuários.

Por isso, a recomendação é de atenção no download de aplicativos, mesmo que eles venham da loja Google Play. Fique atento a comentários e totais de downloads disponíveis, preferindo soluções que sejam reconhecidas, de empresas certificadas e populares, em vez de softwares liberados recentemente por desenvolvedores com poucas ou nenhuma opção disponível no marketplace. Pesquisar antes de baixar, normalmente, ajuda a separar as aplicações legítimas das fraudulentas.

Fonte: ThreatFabric