Usuários Android enfrentam há anos um crescimento constante de malware financeiro.
Ameaças como Hydra, Anatsa e Octo demonstram como hackers podem controlar o celular, ler tudo o que aparece na tela e esvaziar contas bancárias antes mesmo da vítima notar algo errado.
Atualizações de segurança ajudaram a conter algumas dessas variantes, mas os criadores de malware continuam desenvolvendo novas estratégias.
A variante mais recente identificada é uma das mais sofisticadas até hoje.
Ela consegue silenciar o telefone, capturar telas de apps bancários, ler dados copiados para o clipboard e até automatizar transações em carteiras de criptomoedas.
Esse malware é conhecido como Android BankBot YNRK, apresentando nível de sofisticação muito além do malware móvel tradicional.
O BankBot YNRK se disfarça por meio de aplicativos falsos para Android, que parecem legítimos durante a instalação.
Em amostras analisadas pela Cyfirma, os criminosos usaram apps que simulam ferramentas oficiais de identificação digital.
Após a instalação, o malware coleta informações do dispositivo — como marca, modelo e apps instalados —, verifica se está rodando em um emulador para evitar análise automatizada e relaciona modelos conhecidos à resolução da tela para adaptar seu comportamento a aparelhos específicos.
Para se esconder, pode se passar pelo Google News, alterando nome e ícone do app e carregando o site oficial news.google.com dentro de um WebView.
Enquanto a vítima acredita estar usando um app legítimo, o malware executa silenciosamente seus serviços em segundo plano.
Uma das primeiras ações do malware é silenciar os sons do aparelho e desativar notificações, impedindo que o usuário perceba mensagens, alarmes ou chamadas suspeitas que indiquem movimentações incomuns em suas contas.
Em seguida, ele solicita acesso aos Serviços de Acessibilidade.
Quando concedido, o malware ganha controle da interface do dispositivo como se fosse o próprio usuário, podendo clicar em botões, rolar telas e ler tudo que aparece.
O BankBot YNRK também se adiciona como app Device Administrator, dificultando sua remoção e garantindo que seja reiniciado automaticamente após o reboot do aparelho.
Para manter acesso contínuo, agenda tarefas recorrentes em segundo plano que relançam o malware a cada poucos segundos, desde que o telefone esteja conectado à internet.
Comandos enviados por servidores remotos concedem controle quase total do telefone aos atacantes.
O malware envia informações do dispositivo e listas de apps instalados e recebe instruções sobre quais apps financeiros deve atacar.
Entre os alvos estão bancos populares no Vietnã, Malásia, Indonésia, Índia, além de várias carteiras globais de criptomoedas.
Com permissão dos Serviços de Acessibilidade ativada, o malware captura tudo que aparece na tela, incluindo textos, localização dos botões e metadados da interface.
Assim, consegue reconstruir versões simplificadas dos apps para inserir dados de login, navegar por menus, confirmar transferências, preencher campos, instalar ou apagar apps, tirar fotos, enviar SMS, ativar redirecionamento de chamadas e abrir apps bancários em segundo plano enquanto a tela parece inativa.
Dentro das carteiras de criptomoedas, o malware age como um bot automatizado.
Pode abrir apps como Exodus ou MetaMask, ler saldos e frases-semente, dispensar prompts biométricos e realizar transações.
Tudo isso ocorre por meio dos Serviços de Acessibilidade, sem necessidade de senhas ou PINs — basta que as informações estejam visíveis na tela.
Além disso, o malware monitora o clipboard e rouba dados copiados, como OTPs, números de conta ou chaves criptográficas, enviando essas informações diretamente aos atacantes.
Com o redirecionamento de chamadas ativado, as ligações de verificação bancária são silenciosamente desviadas.
Todas essas ações acontecem em questão de segundos após a ativação do malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...