Pesquisadores em cibersegurança identificaram dois trojans para Android, chamados BankBot-YNRK e DeliveryRAT, capazes de coletar dados sensíveis de dispositivos infectados.
A empresa CYFIRMA analisou três variantes do BankBot-YNRK e revelou que o malware possui mecanismos para evitar análises, como a detecção de execução em ambientes virtualizados ou emulados.
Além disso, coleta informações do aparelho, como fabricante e modelo, para verificar se está operando em um dispositivo real.
O BankBot-YNRK faz verificações específicas para dispositivos fabricados pela Oppo e para aparelhos rodando a interface ColorOS, da fabricante chinesa.
Também identifica se o dispositivo é um Google Pixel ou Samsung, consultando uma lista prévia de modelos reconhecidos.
Isso permite que o malware adapte suas funcionalidades a determinados dispositivos e evite ser executado em modelos desconhecidos.
Os três APKs que distribuem o BankBot-YNRK usam o nome "IdentitasKependudukanDigital.apk", possivelmente para se passar por um aplicativo oficial do governo da Indonésia chamado "Identitas Kependudukan Digital".
Os nomes dos pacotes maliciosos são:
- com.westpacb4a.payqingynrk1b4a
- com.westpacf78.payqingynrk1f78
- com.westpac91a.payqingynrk191a
Após a instalação, esses apps coletam informações do dispositivo e configuram o volume do áudio para zero, silenciando chamadas, mensagens e notificações, para evitar que a vítima perceba a atividade maliciosa.
O malware também se comunica com um servidor remoto (“ping.ynrkone[.]top”) e, ao receber o comando "OPEN_ACCESSIBILITY", solicita que o usuário habilite serviços de acessibilidade para obter privilégios elevados e executar ações maliciosas.
No entanto, o BankBot-YNRK só atinge dispositivos Android até a versão 13.
O Android 14, lançado no final de 2023, introduziu uma proteção que impede o uso de serviços de acessibilidade para solicitar ou conceder permissões automaticamente.
Segundo a CYFIRMA, “até o Android 13, apps podiam burlar pedidos de permissão por meio de acessibilidade; no Android 14, essa prática não é mais possível, e os usuários precisam conceder as permissões diretamente pelo sistema”.
O malware usa o serviço JobScheduler do Android para garantir persistência, iniciando após o reboot do aparelho.
Ele suporta diversos comandos, como:
- Obter privilégios de administrador do dispositivo
- Gerenciar aplicativos e interagir com o aparelho
- Redirecionar chamadas usando códigos MMI
- Tirar fotos e manipular arquivos
- Coletar contatos, SMS, localização, lista de apps instalados e conteúdo da área de transferência
Outras funcionalidades do BankBot-YNRK incluem:
- Imitar o Google News, alterando o nome e ícones do app e abrindo “news.google[.]com” via WebView
- Capturar o conteúdo da tela para reconstruir “esqueletos de UI” de aplicativos bancários e facilitar o roubo de credenciais
- Abusar dos serviços de acessibilidade para abrir carteiras de criptomoedas predefinidas e automatizar ações para coletar dados sensíveis e realizar transações fraudulentas
- Focar em uma lista de 62 apps financeiros
- Exibir uma mensagem sobre verificação de informações pessoais enquanto executa ações maliciosas, incluindo autoelevação de privilégios e registro como administrador do dispositivo
“BankBot-YNRK conta com um conjunto robusto de recursos para manter acesso a longo prazo, roubar dados financeiros e realizar transações fraudulentas em dispositivos Android comprometidos”, destaca a CYFIRMA.
Em outra frente, a empresa russa F6 revelou que o trojan DeliveryRAT está sendo distribuído sob o disfarce de serviços de delivery, marketplaces, bancos e aplicativos de rastreamento de encomendas na Rússia desde meados de 2024.
O malware é oferecido como malware-as-a-service (MaaS) via um bot do Telegram chamado Bonvi Team, que disponibiliza o APK ou links para páginas de phishing.
As vítimas são abordadas por apps de mensagens, como Telegram, que as induzem a baixar o app malicioso para rastrear pedidos falsos ou aceitar ofertas de emprego remoto.
O app solicita acesso a notificações e a configurações de otimização de bateria para coletar dados sensíveis e rodar em segundo plano sem ser finalizado.
Além disso, o DeliveryRAT pode acessar SMS, registros de chamadas e esconder seu ícone na tela inicial, dificultando a remoção por usuários menos experientes.
Algumas variantes do trojan também realizam ataques DDoS, enviando múltiplas requisições simultâneas para URLs controladas pelos criminosos, ou induzem usuários a escanear QR codes maliciosos.
A descoberta dessas duas famílias de malware coincide com um relatório da Zimperium, que identificou mais de 760 apps Android desde abril de 2024 que abusam do Near-Field Communication (NFC) para roubar dados de pagamento.
Esses apps falsos se passam por aplicações financeiras e induzem usuários a defini-los como método de pagamento padrão, explorando o Host-based Card Emulation (HCE) do Android para capturar dados de cartões contactless.
As informações são enviadas para canais no Telegram ou apps específicos controlados pelos criminosos, que usam os dados para saques ou compras instantâneas em terminais de ponto de venda (PoS).
Cerca de 20 instituições foram alvo dessa fraude, principalmente bancos russos e serviços financeiros, além de organizações no Brasil, Polônia, República Tcheca e Eslováquia, segundo a Zimperium.
Fique atento a essas ameaças e mantenha seus dispositivos atualizados, preferencialmente com Android 14 ou superior, para minimizar o risco dessas infecções.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...