Apps maliciosos para Android, disfarçados de Google, Instagram, Snapchat, WhatsApp e X (anteriormente Twitter), foram flagrados roubando credenciais dos usuários através de dispositivos comprometidos.
"Este malware usa ícones de aplicativos Android famosos para enganar os usuários e induzi-los a instalar o app malicioso em seus dispositivos", disse a equipe de pesquisa de ameaças SonicWall Capture Labs em um relatório recente.
O vetor de distribuição para a campanha atualmente é incerto.
No entanto, uma vez instalado nos telefones dos usuários, o app solicita que concedam permissões aos serviços de acessibilidade e à API de administrador de dispositivo, uma funcionalidade agora obsoleta que fornece recursos de administração de dispositivos no nível do sistema.
Obter essas permissões permite que o app malicioso ganhe controle sobre o dispositivo, possibilitando realizar ações arbitrárias, desde roubo de dados até implantação de malware sem o conhecimento das vítimas.
O malware é projetado para estabelecer conexões com um servidor de comando e controle (C2) para receber comandos para execução, permitindo que ele acesse listas de contatos, mensagens SMS, registros de chamadas, lista de apps instalados; enviar mensagens SMS; abrir páginas de phishing no navegador web, e alternar a lanterna da câmera.
As URLs de phishing imitam as páginas de login de serviços bem conhecidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.
Este desenvolvimento surge enquanto a Symantec, de propriedade da Broadcom, alertou sobre uma campanha de engenharia social que emprega o WhatsApp como um vetor de entrega para propagar um novo malware para Android, posando como um aplicativo relacionado à defesa.
"Após a entrega bem-sucedida, o aplicativo instalaria-se sob o disfarce de uma aplicação de Contatos", disse a Symantec.
Após a execução, o app solicitaria permissões para SMS, Contatos, Armazenamento e Telefone e subsequentemente se removeria da visualização.
Isso também segue a descoberta de campanhas de malware distribuindo trojans bancários para Android como o Coper, que é capaz de coletar informações sensíveis e apresentar sobreposições de janela falsas, enganando os usuários a entregarem suas credenciais sem saber.
Na semana passada, o Centro Nacional de Cibersegurança da Finlândia (NCSC-FI) revelou que mensagens de smishing estão sendo usadas para direcionar usuários para malware para Android que rouba dados bancários.
A cadeia de ataque utiliza uma técnica chamada entrega de ataque orientada por telefone (TOAD), na qual as mensagens SMS instigam os destinatários a ligar para um número em conexão com uma reivindicação de cobrança de dívida.
Uma vez feita a ligação, o golpista do outro lado informa à vítima que a mensagem é fraudulenta e que eles deveriam instalar um app antivírus no telefone para proteção.
Eles também instruem o interlocutor a clicar em um link enviado em uma segunda mensagem de texto para instalar o suposto software de segurança, que na realidade, é malware projetado para roubar credenciais de contas bancárias online e, em última análise, realizar transferências de fundos não autorizadas.
Embora a exata cepa de malware para Android usada no ataque não tenha sido identificada pelo NCSC-FI, suspeita-se que seja o Vultr, que foi detalhado pelo Grupo NCC no início do mês passado como utilizando um processo praticamente idêntico para infiltrar dispositivos.
Malwares baseados em Android, como Tambir e Dwphon, também foram detectados recentemente em atividade com várias funcionalidades de coleta de dados, sendo o último direcionado a telefones móveis de fabricantes chineses e principalmente destinado ao mercado russo.
"Dwphon vem como um componente da aplicação de atualização do sistema e exibe muitas características de malware pré-instalado no Android", disse a Kaspersky.
O exato caminho de infecção é incerto, mas há uma suposição de que a aplicação infectada foi incorporada ao firmware como resultado de um possível ataque à cadeia de suprimentos.
Dados de telemetria analisados pela empresa russa de cibersegurança mostram que o número de usuários de Android atacados por malware bancário aumentou 32% em comparação com o ano anterior, saltando de 57.219 para 75.521.
A maioria das infecções foi relatada na Turquia, Arábia Saudita, Espanha, Suíça e Índia.
"Embora o número de usuários afetados por malware bancário para PC continue a diminuir, [...] o ano de 2023 viu o número de usuários encontrando trojans bancários móveis aumentar significativamente", observou a Kaspersky.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...