Trojan mira clientes do banco Itaú usando páginas da “Play Store”
Malware potencializa Acessibilidade para contornar segurança do sistema; Google ainda não tem solução para vulnerabilidadeBy - Liliane Nakagawa, 29 dezembro 2021 às 7:07
Pelo menos seis sites que se passavam por Play Store foram reportados e retirados do ar recentemente. Semelhantes à loja oficial de aplicativos do Google, essas páginas exibiam trojans visando bancos alvos e populares para aparelhos Android. Um deles mirava clientes do Itaú Unibanco, provedor de serviços financeiros com 55 milhões de clientes em todo mundo.
Another day, another not much detected "sincronizador.apk": 3500c50910c94c7f9bc7b39a7b194bac6137cef586281ee22f5439bb2d140480
From: https://acesso.sincronizadorltoken[.]com/playstore_downloadS34/ -> https://acesso.sincronizadorltoken[.]com/playstore_downloadS34/sincronizador.apk pic.twitter.com/smTOn48NQA— MalwareHunterTeam (@malwrhunterteam) December 16, 2021
O malware disfarçado utilizava o mesmo ícone oficial da instituição em uma página falsa da loja. Ao clicar em “instalar”, uma APK do sincronizador era oferecida para download. Na Google Play Store, os apps são baixados diretamente da interface da loja, sem solicitar que baixe ou instale programas manualmente.
Imagem: Cyble
De acordo com a análise da Cyble, quando o usuário executa o malware, ele tenta abrir o aplicativo oficial a partir da própria Play Store. Se bem sucedido, o software malicioso age trocando os campos de entrada do usuário para fazer transações fraudulentas.
Imagem: Cyble
Para evitar qualquer suspeita ou arriscar detecção de ferramentas antivírus, o aplicativo falso não solicita qualquer permissão durante a instalação. Em vez disso, ele busca potencializar o Serviço de Acessibilidade, o que dará ao malware móvel formas de se esquivar de toda segurança dos sistemas Android.
Apesar de colocar em risco elevado os dispositivos desse sistema, o Google ainda não tem uma solução para combater a “pandemia de abuso de Acessibilidade causada pelo malware”, diz o relatório recente da Security Research Labs.
Imagem: Cyble
Portanto, apenas o usuário poderá detectar os sinais de abuso e cessar as atividades do malware antes desse se espalhar pelo dispositivo, danificando-o.
Trojan: como identificar
Os sinais vêm em forma do aplicativo solicitando permissão para realizar gestos, recuperar o conteúdo da janela e observar as ações do usuário.
Imagem: Cyble
Para se prevenir, é importante que certifique-se de instalar o aplicativo a partir do site oficial ou da loja da Play Store.
Aplicar as últimas atualizações e ferramentas de antivírus de um fornecedor confiável, além de usar senhas fortes e autenticação multi-fator no aplicativo deverão garantir segurança da conta.
Caso necessite instalar uma APK fora da loja oficial, examine atentamente os pedidos de permissão – antes, durante e após – a instalação.
O app Google Play Protect também pode ajudar a detectar qualquer atividade anormal no dispositivo, caso esteja habilitado. Já que, de acordo com o Google, “ele escaneia seu dispositivo constantemente para garantir que seu celular esteja em conformidade com os mais recentes padrões de segurança móvel”.
Comentários