Aplicativos maliciosos disfarçados de bancos e agências governamentais visam usuários de Android na Índia
21 de Novembro de 2023

Usuários de smartphones Android na Índia são o alvo de uma nova campanha de malware que emprega iscas de engenharia social para instalar aplicativos fraudulentos capazes de coletar dados sensíveis.

"Usando plataformas de mídia social como WhatsApp e Telegram, os atacantes estão enviando mensagens projetadas para atrair usuários para instalar um aplicativo malicioso em seu dispositivo móvel, se passando por organizações legítimas como bancos, serviços governamentais e utilitários", disseram os pesquisadores de inteligência de ameaças da Microsoft Abhishek Pustakala, Harshita Tripathi e Shivang Desai em uma análise de segunda-feira.

O principal objetivo da operação é capturar detalhes bancários, informações de cartões de pagamento, credenciais de contas e outros dados pessoais.

As cadeias de ataque envolvem o compartilhamento de arquivos APK maliciosos através de mensagens de mídia social enviadas no WhatsApp e Telegram, apresentando-os falsamente como aplicativos bancários e induzindo um sentido de urgência, alegando que as contas bancárias dos alvos serão bloqueadas a menos que atualizem seu número de conta permanente (PAN) emitido pelo Departamento de Receita Federal da Índia através do aplicativo falso.

Após a instalação, o aplicativo solicita à vítima que insira suas informações de conta bancária, PIN do cartão de débito, números do cartão PAN e credenciais de banco online, que são subsequentemente transmitidas para um servidor de comando e controle (C2) controlado pelo ator e um número de telefone pré-programado.

"Uma vez que todos os detalhes solicitados são enviados, uma nota suspeita aparece indicando que os detalhes estão sendo verificados para atualizar o KYC", disseram os pesquisadores.

O usuário é instruído a esperar 30 minutos e não apagar ou desinstalar o aplicativo.

Além disso, o aplicativo tem a funcionalidade de esconder seu ícone, fazendo-o desaparecer da tela inicial do dispositivo do usuário enquanto continua sendo executado em segundo plano."

Outro aspecto notável do malware é que ele solicita ao usuário que conceda permissão para ler e enviar mensagens SMS, permitindo assim interceptar senhas de uso único (OTPs) e enviar as mensagens das vítimas para o número de telefone do ator de ameaça via SMS.

Variantes do trojan bancário descoberto pela Microsoft também foram encontradas para roubar detalhes de cartões de crédito, junto com informações pessoalmente identificáveis (PII) e mensagens SMS recebidas, expondo usuários desavisados a fraudes financeiras.

No entanto, vale ressaltar que, para que esses ataques sejam bem-sucedidos, os usuários terão que habilitar a opção para instalar aplicativos de fontes desconhecidas fora da Google Play Store.

"Infecções por trojan bancário móvel podem representar riscos significativos para as informações pessoais dos usuários, privacidade, integridade do dispositivo e segurança financeira", disseram os pesquisadores.

"Essas ameaças muitas vezes podem se disfarçar de aplicativos legítimos e implantar táticas de engenharia social para atingir seus objetivos e roubar dados sensíveis e ativos financeiros dos usuários."

O desenvolvimento surge à medida que o ecossistema Android também tem sido atacado pelo trojan SpyNote, que tem como alvo os usuários do Roblox sob o disfarce de um mod para sifonar informações sensíveis.

Em outro caso, sites adultos falsos estão sendo usados como iscas para atrair usuários a baixar um malware Android chamado Enchant que se concentra especificamente em pilhar dados de carteiras de criptomoedas.

"O malware Enchant usa o recurso de serviço de acessibilidade para visar carteiras de criptomoedas específicas, incluindo imToken, OKX, Bitpie Wallet e TokenPocket wallet", disse a Cyble em um relatório recente.

"Seu objetivo principal é roubar informações críticas como endereços de carteira, frases mnemônicas, detalhes de ativos de carteira, senhas de carteira e chaves privadas de dispositivos comprometidos."

No mês passado, a Doctor Web descobriu vários aplicativos maliciosos na Google Play Store que exibiam anúncios intrusivos (HiddenAds), inscreviam usuários em serviços premium sem o conhecimento ou consentimento deles (Joker) e promoviam golpes de investimento se passando por software de negociação (FakeApp).

A onda de malware Android levou o Google a anunciar novos recursos de segurança, como a varredura de código em tempo real para aplicativos recém-encontrados.

Ele também lançou configurações restritas com o Android 13 que proíbem os aplicativos de obter acesso a configurações críticas do dispositivo (por exemplo, acessibilidade) a menos que seja explicitamente habilitado pelo usuário.

A Samsung, em outubro de 2023, lançou uma nova opção de bloqueador automático que impede instalações de aplicativos de fontes que não sejam a Google Play Store e a Galaxy Store, e bloqueia comandos e instalações de software prejudiciais através da porta USB.

Para evitar o download de software malicioso do Google Play e outras fontes confiáveis, os usuários são aconselhados a verificar a legitimidade dos desenvolvedores do aplicativo, analisar as avaliações e verificar as permissões solicitadas pelos aplicativos.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...