Aplicativos maliciosos para Android se disfarçando como Google, Instagram, Snapchat, WhatsApp e X (antigo Twitter) foram observados roubando credenciais de usuários de dispositivos comprometidos.
“Este malware utiliza ícones famosos de aplicativos Android para enganar usuários e enganar vítimas a instalarem o aplicativo malicioso em seus dispositivos”, disse a equipe de pesquisa de ameaças da SonicWall Capture Labs em um relatório recente.
O vetor de distribuição da campanha ainda não está claro. No entanto, uma vez que o aplicativo está instalado nos telefones dos usuários, ele solicita que eles concedam permissões para os serviços de acessibilidade e a API do administrador do dispositivo, um recurso agora obsoleto que fornece recursos de administração de dispositivos no nível do sistema.
Obter essas permissões permite que o aplicativo malicioso ganhe controle sobre o dispositivo, tornando possível realizar ações arbitrárias que vão desde roubo de dados até implantação de malware sem o conhecimento das vítimas.
O malware é projetado para estabelecer conexões com um servidor de comando e controle (C2) para receber comandos para execução, permitindo acessar listas de contatos, mensagens SMS, registros de chamadas, lista de aplicativos instalados; enviar mensagens SMS; abrir páginas de phishing no navegador da web e alternar a lanterna da câmera.
As URLs de phishing imitam as páginas de login de serviços conhecidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.
Um porta-voz do Google confirmou ao The Hacker News que o Google Play Protect, a defesa contra malware integrada do Android, protege automaticamente os usuários de aplicativos que contenham versões conhecidas desse malware.
O desenvolvimento ocorre à medida que Cyfirma e Symantec, de propriedade da Broadcom, alertam sobre uma campanha de engenharia social que utiliza o WhatsApp como vetor de entrega para propagar um novo malware para Android, fingindo ser um aplicativo relacionado à defesa.
“Após a entrega bem-sucedida, o aplicativo se instalaria sob a aparência de um aplicativo de Contatos”, disse a Symantec. “Após a execução, o aplicativo solicitará permissões para SMS, Contatos, Armazenamento e Telefone e posteriormente se removerá da visualização.”
Também segue a descoberta de campanhas de malware distribuindo trojans bancários para Android como o Coper, capaz de coletar informações sensíveis e exibir sobreposições de janelas falsas, enganando os usuários a entregarem suas credenciais sem saber.
Na semana passada, o Centro Nacional de Segurança Cibernética da Finlândia (NCSC-FI) revelou que mensagens de smishing estão sendo usadas para direcionar os usuários para malware Android que rouba dados bancários.
A cadeia de ataque aproveita uma técnica chamada entrega de ataque orientada para telefone (TOAD), em que as mensagens SMS instam os destinatários a ligar para um número relacionado a uma reivindicação de cobrança de dívidas.
Uma vez feita a ligação, o golpista do outro lado informa à vítima que a mensagem é fraudulenta e que eles devem instalar um aplicativo antivírus em seus telefones para proteção.
Eles também instruem o chamador a clicar em um link enviado em uma segunda mensagem de texto para instalar o suposto software de segurança, que na realidade é um malware projetado para roubar credenciais de contas bancárias on-line e eventualmente realizar transferências de fundos não autorizadas.
Embora a cepa exata de malware Android usada no ataque não tenha sido identificada pelo NCSC-FI, é suspeito de ser o Vultr, que foi detalhado pela NCC Group no início do mês passado, utilizando um processo virtualmente idêntico para infiltrar dispositivos.
Malwares baseados em Android, como Tambir e Dwphon, também foram detectados na natureza nos últimos meses, com várias funcionalidades de coleta de dispositivos, sendo o último direcionado a telefones celulares de fabricantes chineses e principalmente destinado ao mercado russo.
“Dwphon vem como um componente do aplicativo de atualização do sistema e exibe muitas características de malware para Android pré-instalado,” disse a Kaspersky.
“O caminho de infecção exato não é claro, mas há uma suspeita de que o aplicativo infectado foi incorporado ao firmware como resultado de um possível ataque à cadeia de suprimentos.”
Dados de telemetria analisados pela empresa de cibersegurança russa mostram que o número de usuários de Android atacados por malware bancário aumentou 32% em relação ao ano anterior, saltando de 57.219 para 75.521. A maioria das infecções foi relatada na Turquia, Arábia Saudita, Espanha, Suíça e Índia.
“Embora o número de usuários afetados por malware bancário em PCs continue a declinar, […] o ano de 2023 viu o número de usuários encontrando trojans bancários móveis aumentar significativamente”, observou a Kaspersky.