Novo vírus no Android mira brasileiros e pode limpar contas bancárias
Gabriel Francisco Ribeiro
De Tilt, em São Paulo
23/05/2020 15h33
Sem tempo, irmão
- App malicioso presente na Google Play tinha funções perigosas, segundo ESET
- Malware poderia dar acesso a contas bancárias de vítimas e expor login em apps
- Trojan bancário estava presente na loja como simulação de app de segurança
- Ele conseguiu esconder recursos perigosos para permanecer por meses na loja
Um novo aplicativo voltado a golpes foi identificado na loja Google Play, do sistema Android, por especialistas da empresa de cibersegurança ESET. Segundo a análise feita pela companha, o malware mirava brasileiros e tinha "ações terríveis", chegando até a uma possível limpeza da conta bancária de vítimas.
O aplicativo em questão tem o nome de Defensor ID e supostamente visava a proteção dos celulares. Ele foi lançado em 3 de fevereiro de 2020, sendo atualizado pela última vez no dia 6 de maio. Ele não está mais disponível na loja de aplicativos desde o dia 19 de maio, após a ESET alertar o Google.
A ação do malware era vasta. Ele poderia, por exemplo, limpar a conta bancária de vítimas a depender de soluções de segurança adotadas por bancos ou uma carteira de criptomoedas. Além disso, poderia sequestrar contas de emails e redes sociais.
Como o app agia
O app se infiltrou na loja sob uma cautela que permitiu reduzir a superfície maliciosa dele, escondendo suas funções maliciosas e removendo todas as possíveis funcionalidades perigosas com exceção de uma: abusar do serviço de acessibilidade.
Apesar de ser equipado com recursos para roubo de informações, o que tornava o trojan bancário muito perigoso, segundo a ESET, era que, após a instalação, ele requeria uma única ação por parte da vítima: habilitar o serviço de acessibilidade do celular. Só após concluído este passo as funcionalidades maliciosas eram totalmente desbloqueadas.
Embora as soluções de segurança da loja do Google possam detectar o uso combinado de serviços de acessibilidade juntamente a outras permissões, funções suspeitas ou funcionalidades maliciosas, no caso do Defensor ID todas falharam em disparar alarmes, já que não havia funcionalidade adicional ou outras permissões.
O nome do desenvolvedor do app era "GAS Brazil", o que sugere que o ataque visava brasileiros. O próprio nome do aplicativo reflete isso ao mostrar o relacionamento com a solução de segurança "GAS Tecnologia", geralmente instalada em computadores do Brasil por exigência de bancos online.
Após o download, o Defensor ID solicitava as seguintes permissões:
- Modificar as configurações do sistema,
- Exibir em outros aplicativos,
- Ativar serviços de acessibilidade.
Se concedidas as permissões, o malware poderia ler qualquer texto exibido em qualquer aplicativo iniciado pelo usuário e enviá-lo para os invasores. Isso significa a possibilidade de roubo de credenciais da vítima para feitura de logins, ver mensagens de email, além de obter chaves de criptomoedas e até códigos de autenticação em dois fatores.
O roubo de credenciais e o acesso às mensagens e aos códigos de autenticação permitiriam que o app burlasse as proteções usuais que pessoas cuidadosas aplicam nos smartphones e serviços. Isso poderia permitir, por exemplo, que hackers tivessem controle total de conta bancárias da vítima.
A ESET ainda notou que os cibercriminosos deixaram o banco de dados remoto com alguns dos dados das vítimas acessíveis, sem qualquer autenticação. Esse banco de dados continha atividades mais recentes executadas em cerca de 60 dispositivos comprometidos.