Um trojan bancário ativo na Google Play até a última sexta-feira (17) infectou milhares de usuários que pensaram estar baixando um joguinho ou um aplicativo inocente, de acordo com uma pesquisa publicada por um trio de empresas de cibersegurança.

O malware, conhecido como BankBot, estava escondido dentro de diversos aplicativos de lanterna e do jogo Paciência, e foi detectado pela primeira vez por pesquisadores no dia 13 de outubro. Depois de baixar o aplicativo infectado, o trojan ficava ativo e esperava os usuários logarem em aplicativos selecionados de bancos, incluindo os americanos Wells Fargo, Chase, CitiBank e o inglês DiBa, afetando usuários na Austrália, Alemanha, Holanda, França, Polônia, Espanha, Portugal, Turquia, Grécia, Rússia, República Dominicana, Singapura e Filipinas.

Em alguns casos, os números de autenticação de transações – uma autenticação de dois fatores adotadas por alguns dos bancos – eram interceptados nas mensagens de texto. A pesquisa sobre as capacidades deste BankBot foram conduzidas por funcionários da Avast, ESET e SfyLabs, esta última que foca em ameaças específicas do Android.

Embora o Play Protect escaneie os aplicativos enviados para a loja oficial do Google contra softwares maliciosos, o BankBot contornou essa camada de defesa ao hospedar o seu payload (o conteúdo malicioso em si) em um servidor de comando e controle. Depois que os usuários baixavam um dos aplicativos infectados, como ““Tornado Flashlight”, o malware esperava duas horas antes de baixar o payload. Os telefones que não estavam configurados para aceitar downloads de fontes desconhecidas exibiam uma mensagem com a solicitação da permissão, de acordo com a Avast.

Nesta solicitação, os aplicativos para Android que continham o malware eram designados para enganar os usuários para que acreditassem que a Google Play ou uma atualização de sistema estava exigindo privilégios administrativos.

A partir daí, o BankBot esperava silenciosamente para que usuários logassem em um dos aplicativos dos bancos mencionados acima. Uma vez que as credenciais eram inseridas, elas eram imediatamente compartilhada com os criminosos do esquema.

Determinados aplicativos de bancos enviam códigos de segurança para seus clientes por meio de mensagens de texto, e é preciso inseri-los antes de acessar as contas; no entanto, esta variante do BankBot incluía uma funcionalidade que permitia interceptar as mensagens e encaminhar os códigos para os atacantes.

“O malware não está ativo na Ucrânia, Bielorrúsia e Rússia”, escreveram os pesquisadores da Avast. “Provavelmente para proteger os cibercriminosos de receber atenção não desejada das autoridades destes países”.

Existem diversos procedimentos que usuários podem tomar no futuro para evitar que suas contas bancárias sejam hackeadas, entre elas estão, principalmente: se assegurar que os downloads sejam feitos apenas de fontes confiáveis. Pelo menos você conseguirá vetar aplicativos não confiáveis no caso a caso. (Cheque esta opção nas configurações de “Segurança” do seu celular).

E não posso deixar de recomendar não fazer o download de aplicativos de lanterna. Estes apps têm uma péssima reputação por hospedar malwares e não parece que isso vai mudar em algum momento.

Fonte: Gizmodo