Falso app da Netflix rouba tokens bancários

 falso aplicativo netflix
Tela de instalação do falso aplicativo

O pesquisador Nikolaos Chrysaidos, líder da área de ameaças para dispositivos móveis da Avast, anunciou  a descoberta de um falso aplicativo da Netflix que rouba as mensagens SMS recebidas pelo usuário. O interesse de cibercriminosos nessas mensagens está nos tokens que muitas delas contêm, enviados por muitos bancos e até por plataformas como o Facebook e o Google. A descoberta foi feita na loja de aplicativos Google Play, na área destinada aos usuários de língua francesa, mas naturalmente nada impede que o app reapareça atacando usuários no Brasil. O aplicativo se chama Patche Netflix e oferece como vantagem a possibilidade de desbloquear todas as limitações geográficas do Netflix, permitindo que o usuário assista filmes publicados pela empresa em qualquer lugar do mundo.

A descrição da utilidade do aplicativo chega a ser arrogante: “Os contratos exclusivos entre produtores e redes fazem com que, por exemplo, a série House of Cards – produzida pela Netflix – permaneça exclusiva do Canal + ni France. Nossas restrições legais também nos impedirão de ver Star Wars 7 no serviço de streaming antes de (pelo menos) Dezembro de 2018 … Mas a Patche Netflix promete oferecer filmes de todo o mundo em um clique “.

Segundo informações de Chrysaidos no blog da Avast, quando se instala o aplicativo “Netflix Patche” ele solicita permissão para enviar e exibir mensagens SMS. Ao final da instalação, o aplicativo simplesmente oculta o ícone que deveria estar na tela, provavelmente para que o usuário esqueça que instalou alguma coisa. Em seguida, lê e envia todas as mensagens de SMS do dispositivo para um servidor C&C (de comando e controle).

“Descobrimos esse golpe com a nossa plataforma de inteligência contra ameaças móveis (MTIP), que chamamos de apklab.io. A plataforma está rodando 24 horas por dia, 7 dias por semana, monitorando todas as ameaças móveis que aparecem na rede monitorada pela Avast e seus parceiros, analisando o malware, classificando-o e aprendendo com ele. O sandbox de análise dinâmica e o modelo de Machine Learning do apklab.io detectaram o aplicativo como malicioso”, explicou o especialista.

 

BB, Itaú, Caixa e Bradesco na mira do BankBot

telas falsas de mobile banking
clique para ampliar

Quatro bancos brasileiros estão na mira de um trojan projetado para o sistema operacional Android: Banco do Brasil, Itaú Unibanco, Bradesco e Caixa Econômica Federal. Mas não é só: o malware bancário Android.BankBot.495.origin também rouba credenciais de Netflix, Itaucard, Uber e Twitter.  A descoberta foi anunciada pela Dr. Web, uma das mais antigas fabricantes de antivírus, que tem sede em Moscou e não opera no Brasil. O malware foi escondido em pelo menos três aplicativos armazenados na loja Google Play, removidos de lá depois da denúncia de contaminação. No entanto, é possível que eles voltem a qualquer momento com outro disfarce, alerta a empresa.

Método

Os aplicativos contaminados se chamavam  WLocaliza Ache Já, WhatsWhere Ache Já e WhatsLocal Ache Já, todos prometendo ao usuário listar todas as pessoas que haviam visitado seus perfis em redes sociais. Na verdade, nada disso acontecia. Logo na instalação os apps pediam permissão para uso da acessibilidade do telefone. Com isso, podiam ler as telas de todas as aplicações abertas e acionar qualquer botão ou link. Esse recurso servia, por exemplo, para derrubar tentativas de desinstalação: ao registrar qualquer evento desse tipo, o malware acionava quatro vezes consecutivas o botão ‘back’.

Logo depois disso, a janela de acessibilidade era escondida. Na etapa seguinte o malware requisitava ao sistema permissão para aplicar telas sobre os aplicativos do usuário (android.permission.ACTION_MANAGE_OVERLAY_PERMISSION) e a seguir respondia automaticamente ‘Permitir’. O passo seguinte era acessar – sem visualização para o usuário – quatro URLs em dois IPs diferentes: um armazenava todas as telas falsas e outro era o servidor de comando e controle para onde as credenciais deveriam ser enviadas.

Depois de criar uma lista de todas as aplicações instaladas, o Android.BankBot.495.origin começa a trabalhar no roubo de credenciais, disparando o uso dos aplicativos, solicitando números de agências, contas, senhas, tokens e quaisquer outros dados necessários em transações.