Aplicativos Android maliciosos disfarçados de Google, Instagram, Snapchat, WhatsApp e X (anteriormente Twitter) foram observados roubando as credenciais dos usuários de dispositivos comprometidos.
“Esse malware usa ícones famosos de aplicativos Android para enganar os usuários e fazer com que as vítimas instalem o aplicativo malicioso em seus dispositivos”, disse a equipe de pesquisa de ameaças do SonicWall Capture Labs em um relatório recente.
O vetor de distribuição da campanha está atualmente indefinido. No entanto, uma vez que o aplicativo é instalado nos telefones dos usuários, ele solicita permissões para os serviços de acessibilidade e para a API do administrador de dispositivos, um recurso agora descontinuado que fornece recursos de administração de dispositivos no nível do sistema.
A obtenção dessas permissões permite que o aplicativo malicioso assuma o controle do dispositivo, tornando possível realizar ações arbitrárias que vão desde o roubo de dados até a implantação de malware sem o conhecimento das vítimas.
O malware é projetado para estabelecer conexões com um servidor de comando e controle (C2) para receber comandos de execução, permitindo acessar listas de contatos, mensagens SMS, registros de chamadas, lista de aplicativos instalados, enviar mensagens SMS, abrir páginas de phishing no navegador da web e ligar a lanterna da câmera.
As URLs de phishing imitam as páginas de login de serviços conhecidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.
Um porta-voz do Google confirmou ao The Hacker News que o Google Play Protect, a defesa contra malwares integrada no Android, protege automaticamente os usuários de aplicativos contendo versões conhecidas desse malware.
O desenvolvimento surge quando a Cyfirma e a Symantec, subsidiária da Broadcom, alertaram sobre uma campanha de engenharia social que utiliza o WhatsApp como vetor de entrega para propagar um novo malware Android se passando por um aplicativo relacionado à defesa.
“Após a entrega bem-sucedida, o aplicativo se instalaria sob a aparência de um aplicativo de Contatos”, disse a Symantec. “Ao ser executado, o aplicativo solicitava permissões para SMS, Contatos, Armazenamento e Telefone e subsequentemente se removia da visualização.”
Também segue a descoberta de campanhas de malware distribuindo trojans bancários Android como Coper, capaz de coletar informações sensíveis e exibir sobreposições de janelas falsas, enganando os usuários a entregarem suas credenciais sem saber.
Na semana passada, o Centro Nacional de Segurança Cibernética (NCSC-FI) da Finlândia revelou que mensagens de smishing estão sendo usadas para direcionar os usuários para malware Android que rouba dados bancários.
A cadeia de ataque aproveita uma técnica chamada entrega de ataque orientada por telefone (TOAD), onde as mensagens SMS instigam os destinatários a ligar para um número em conexão com uma reivindicação de cobrança de dívidas.
Uma vez que a ligação é feita, o golpista do outro lado informa a vítima que a mensagem é fraudulenta e que eles devem instalar um aplicativo antivírus em seu telefone para proteção.
Eles também instruem o chamador a clicar em um link enviado em uma segunda mensagem de texto para instalar o suposto software de segurança, mas na realidade é um malware projetado para roubar as credenciais da conta bancária online e, por fim, realizar transferências de fundos não autorizadas.
Embora a cepa exata de malware Android usada no ataque não tenha sido identificada pelo NCSC-FI, suspeita-se que seja o Vultr, detalhado pela NCC Group no início do mês passado, que usa um processo virtualmente idêntico para infiltrar dispositivos.
Malwares baseados em Android, como Tambir e Dwphon, também foram detectados na natureza nos últimos meses com várias funcionalidades de coleta de dispositivos, sendo o último direcionado a telefones celulares de fabricantes chineses e principalmente destinado ao mercado russo.
“Dwphon vem como um componente do aplicativo de atualização do sistema e exibe muitas características de malwares Android pré-instalados”, disse a Kaspersky.
“O caminho de infecção exato não está claro, mas há uma suposição de que o aplicativo infectado foi incorporado no firmware como resultado de um possível ataque à cadeia de suprimentos.”
Dados de telemetria analisados pela empresa de cibersegurança russa mostram que o número de usuários de Android atacados por malwares bancários aumentou 32% em comparação com o ano anterior, saltando de 57.219 para 75.521. A maioria das infecções foi relatada na Turquia, Arábia Saudita, Espanha, Suíça e Índia.
“Embora o número de usuários afetados por malwares bancários de PC continue a diminuir, […] o ano de 2023 viu o número de usuários encontrando Trojans bancários para dispositivos móveis aumentar significativamente”, observou a Kaspersky.
