Pesquisadores em cibersegurança identificaram um trojan bancário para Android até então desconhecido, chamado Datzbro, capaz de realizar ataques de Device Takeover (DTO) e efetuar transações fraudulentas explorando principalmente pessoas idosas.
A empresa holandesa especializada em segurança móvel ThreatFabric descobriu a campanha em agosto de 2025, após relatos de usuários na Austrália sobre golpistas que gerenciavam grupos no Facebook divulgando “viagens ativas para idosos”.
Além da Austrália, outros países alvos incluem Singapura, Malásia, Canadá, África do Sul e Reino Unido.
Essas campanhas miram especificamente idosos em busca de atividades sociais, viagens, encontros presenciais e eventos similares.
Os grupos no Facebook ligados ao esquema compartilham conteúdos gerados por inteligência artificial (AI), que dizem organizar diversas atividades para a terceira idade.
Quando as potenciais vítimas demonstram interesse, elas são contatadas pelo Facebook Messenger ou WhatsApp, onde recebem um link fraudulento para baixar um arquivo APK (por exemplo, “download[.]seniorgroupapps[.]com”).
Segundo o relatório da ThreatFabric, esses sites falsos incentivam a instalação de um aplicativo comunitário, prometendo registro em eventos, conexão com outros membros e acompanhamento das atividades.
Além disso, os sites apresentam links simulados para download de um app iOS, indicando que os criminosos pretendem atacar também dispositivos Apple, distribuindo aplicativos via TestFlight para enganar usuários.
Caso o idoso clique no botão para baixar o app Android, ele pode receber diretamente o malware ou um dropper criado com um serviço chamado Zombinder, que usa APK binding para driblar as restrições de segurança do Android 13 e versões superiores.
Alguns dos aplicativos Android usados para distribuir o Datzbro são:
- Senior Group (twzlibwr[.]rlrkvsdw[.]bcfwgozi)
- Lively Years (orgLivelyYears[.]browses646)
- ActiveSenior (com[.]forest481[.]security)
- DanceWave (inedpnok[.]kfxuvnie[.]mggfqzhl)
- 作业帮 (io[.]mobile[.]Itool)
- 麻豆传媒 (fsxhibqhbh[.]hlyzqkd[.]aois)
- 麻豆传媒 (mobi[.]audio[.]aassistant)
- 谷歌浏览器 (tvmhnrvsp[.]zltixkpp[.]mdok)
- MT管理器 (varuhphk[.]vadneozj[.]tltldo)
- MT管理器 (spvojpr[.]bkkhxobj[.]twfwf)
- 大麦 (mnamrdrefa[.]edldylo[.]zish)
- MT管理器 (io[.]red.studio[.]tracker)
Assim como outros trojans bancários para Android, Datzbro possui funcionalidades capazes de gravar áudio, tirar fotos, acessar arquivos, executar fraudes financeiras por controle remoto, ataques overlay e keylogging.
Para isso, ele explora os serviços de acessibilidade do Android, permitindo que o malware realize ações remotamente em nome da vítima.
Uma característica notória do Datzbro é seu modo de controle remoto esquemático, que envia informações detalhadas sobre todos os elementos exibidos na tela, suas posições e conteúdos.
Isso permite aos operadores recriar a interface do usuário e tomar o controle total do dispositivo.
O trojan também pode atuar como uma sobreposição preta semi-transparente, com textos personalizados para esconder as atividades maliciosas da vítima.
Além disso, consegue roubar PINs da tela de bloqueio e senhas relacionadas a aplicativos como Alipay e WeChat.
Outra funcionalidade envolve a verificação dos logs de eventos de acessibilidade para identificar pacotes relacionados a bancos ou carteiras de criptomoedas, além de escanear textos em busca de senhas, PINs e outros códigos.
“Esse filtro mostra claramente o foco dos desenvolvedores do Datzbro, que além de utilizar capacidades de spyware, transformam o malware em uma ameaça financeira”, afirmou a ThreatFabric.
“Com a função de keylogging, o trojan consegue capturar credenciais de login para aplicativos bancários móveis inseridas por vítimas desavisadas.”
Acredita-se que o Datzbro tenha origem em um grupo de ameaças de língua chinesa, devido à presença de strings de debug e logs em chinês no código-fonte do malware.
Os aplicativos maliciosos se comunicam com um backend de comando e controle (C2) que, diferente de outras famílias de malware que usam painéis baseados na web, é um aplicativo desktop em língua chinesa.
Além disso, a ThreatFabric alertou que uma versão compilada do aplicativo C2 foi vazada em um repositório público de vírus, sugerindo que o malware pode estar sendo distribuído livremente entre cibercriminosos.
“A descoberta do Datzbro evidencia a evolução das ameaças móveis, que têm explorado usuários desavisados por meio de campanhas de engenharia social”, comentou a empresa.
“Ao focar em idosos, os fraudadores aproveitam a confiança e o apelo por atividades comunitárias para induzir as vítimas a instalarem malware.
O que começa como uma promoção aparentemente inofensiva no Facebook pode se transformar em takeover do dispositivo, roubo de credenciais e fraude financeira.”
Essa divulgação ocorre em paralelo com o relatório da IBM X-Force sobre uma campanha de malware bancário AntiDot para Android, conhecida como PhantomCall, que tem atacado usuários de grandes instituições financeiras em diversos países, incluindo Espanha, Itália, França, Estados Unidos, Canadá, Emirados Árabes Unidos e Índia.
Essa campanha usa apps dropper falsos do Google Chrome para contornar as proteções do Android 13 que impedem o uso malicioso das APIs de acessibilidade em apps instalados fora da Play Store.
Segundo análise da PRODAFT publicada em junho de 2025, o AntiDot é associado ao ator financeiro conhecido como LARVA-398 e opera sob um modelo Malware-as-a-Service (MaaS) em fóruns clandestinos.
O PhantomCall utiliza a API CallScreeningService para monitorar e bloquear chamadas recebidas, baseando-se em listas dinâmicas armazenadas nas preferências compartilhadas do telefone.
Isso permite aos atacantes manter acesso não autorizado por mais tempo, concluir transações fraudulentas e atrasar a detecção.
“Além disso, o PhantomCall possibilita o envio silencioso de códigos USSD para redirecionar chamadas, enquanto bloqueia chamadas legítimas, isolando as vítimas e facilitando a atuação dos criminosos como se fossem elas”, explicou a pesquisadora de segurança Ruby Cohen.
“Essas capacidades são fundamentais para orquestrar fraudes financeiras de alto impacto, cortando as vítimas de canais reais de comunicação e permitindo que os invasores ajam sem levantar suspeitas.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...