Malwares disfarçados atacam dispositivos Android
10 de Maio de 2024

Apps maliciosos para Android, disfarçados de Google, Instagram, Snapchat, WhatsApp e X (anteriormente Twitter), foram flagrados roubando credenciais dos usuários através de dispositivos comprometidos.

"Este malware usa ícones de aplicativos Android famosos para enganar os usuários e induzi-los a instalar o app malicioso em seus dispositivos", disse a equipe de pesquisa de ameaças SonicWall Capture Labs em um relatório recente.

O vetor de distribuição para a campanha atualmente é incerto.

No entanto, uma vez instalado nos telefones dos usuários, o app solicita que concedam permissões aos serviços de acessibilidade e à API de administrador de dispositivo, uma funcionalidade agora obsoleta que fornece recursos de administração de dispositivos no nível do sistema.

Obter essas permissões permite que o app malicioso ganhe controle sobre o dispositivo, possibilitando realizar ações arbitrárias, desde roubo de dados até implantação de malware sem o conhecimento das vítimas.

O malware é projetado para estabelecer conexões com um servidor de comando e controle (C2) para receber comandos para execução, permitindo que ele acesse listas de contatos, mensagens SMS, registros de chamadas, lista de apps instalados; enviar mensagens SMS; abrir páginas de phishing no navegador web, e alternar a lanterna da câmera.

As URLs de phishing imitam as páginas de login de serviços bem conhecidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.

Este desenvolvimento surge enquanto a Symantec, de propriedade da Broadcom, alertou sobre uma campanha de engenharia social que emprega o WhatsApp como um vetor de entrega para propagar um novo malware para Android, posando como um aplicativo relacionado à defesa.

"Após a entrega bem-sucedida, o aplicativo instalaria-se sob o disfarce de uma aplicação de Contatos", disse a Symantec.

Após a execução, o app solicitaria permissões para SMS, Contatos, Armazenamento e Telefone e subsequentemente se removeria da visualização.

Isso também segue a descoberta de campanhas de malware distribuindo trojans bancários para Android como o Coper, que é capaz de coletar informações sensíveis e apresentar sobreposições de janela falsas, enganando os usuários a entregarem suas credenciais sem saber.

Na semana passada, o Centro Nacional de Cibersegurança da Finlândia (NCSC-FI) revelou que mensagens de smishing estão sendo usadas para direcionar usuários para malware para Android que rouba dados bancários.

A cadeia de ataque utiliza uma técnica chamada entrega de ataque orientada por telefone (TOAD), na qual as mensagens SMS instigam os destinatários a ligar para um número em conexão com uma reivindicação de cobrança de dívida.

Uma vez feita a ligação, o golpista do outro lado informa à vítima que a mensagem é fraudulenta e que eles deveriam instalar um app antivírus no telefone para proteção.

Eles também instruem o interlocutor a clicar em um link enviado em uma segunda mensagem de texto para instalar o suposto software de segurança, que na realidade, é malware projetado para roubar credenciais de contas bancárias online e, em última análise, realizar transferências de fundos não autorizadas.

Embora a exata cepa de malware para Android usada no ataque não tenha sido identificada pelo NCSC-FI, suspeita-se que seja o Vultr, que foi detalhado pelo Grupo NCC no início do mês passado como utilizando um processo praticamente idêntico para infiltrar dispositivos.

Malwares baseados em Android, como Tambir e Dwphon, também foram detectados recentemente em atividade com várias funcionalidades de coleta de dados, sendo o último direcionado a telefones móveis de fabricantes chineses e principalmente destinado ao mercado russo.

"Dwphon vem como um componente da aplicação de atualização do sistema e exibe muitas características de malware pré-instalado no Android", disse a Kaspersky.

O exato caminho de infecção é incerto, mas há uma suposição de que a aplicação infectada foi incorporada ao firmware como resultado de um possível ataque à cadeia de suprimentos.

Dados de telemetria analisados pela empresa russa de cibersegurança mostram que o número de usuários de Android atacados por malware bancário aumentou 32% em comparação com o ano anterior, saltando de 57.219 para 75.521.

A maioria das infecções foi relatada na Turquia, Arábia Saudita, Espanha, Suíça e Índia.
"Embora o número de usuários afetados por malware bancário para PC continue a diminuir, [...] o ano de 2023 viu o número de usuários encontrando trojans bancários móveis aumentar significativamente", observou a Kaspersky.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...