Campanha de phishing traz falso app “Itaú Unibanco”

Malware feito para Android busca executar transações financeiras sem o conhecimento da vítima
Da Redação
26/12/2021

Um falso aplicativo do Itaú Unibanco está sendo espalhado em campanhas de phishing para atingir clientes dessa organização brasileira e fazer transações bancárias fraudulentas e indica ter sido baixado 1.895.897 vezes. O total é falso e serve para acrescentar ao app uma aparência de popularidade e confiança, segundo uma fonte informou ao CISO Advisor. O alerta sobre o aplicativo falso foi dado pela equipe MalwareHunterTeam e a amostra foi examinada pela equipe da Cyble. Até o momento em que este texto foi publicado o arquivo do malware continuava disponível para download e para instalação pelas vítimas, aguardando derrubada pelo host. O trecho de código destacado na análise da Cyble mostra que ele tenta abrir um aplicativo com o nome do pacote “com.itau”, hospedado na Play Store – possivelmente o verdadeiro aplicativo do banco. Os especialistas observaram que este aplicativo tenta realizar transações financeiras fraudulentas dentro do aplicativo legítimo do Itaú Unibanco, adulterando os campos de entrada do usuário.

O Cyble Research Labs encontrou o malware hospedado no servidor hxxps: //acesso.sincronizadorltoken [.] Com / playstore_downloadS34 / sincronizador.apk. Durante a análise, a equipe observou que foi criada uma falsa página da Google Play Store onde o aplicativo fica hospedado sob o nome de ‘ sincronizador.apk’.

Veja isso
Febraban investe R$ 6 milhões em laboratório de segurança cibernética
Novo malware mira clientes do Santander, Itaú, Inter e BB

Na análise da Cyble, ficou claro que depois que o usuário inicia o aplicativo, ele pede aos usuários que habilitem o AccessibilityService e permitam outras ações, como Observar ações, Recuperar conteúdo da janela e Executar gestos. O aplicativo não solicita nenhuma permissão perigosa. Em vez disso, ele aproveita o AccessibilityService para realizar suas atividades. Ao abrir a URL fornecida pelos pesquisadores, observa-se que o navegador mostra um aviso indicando que a URL é ‘perigosa’.

Em uma análise posterior, a Cyble observou que o domínio também hospedou uma página falsa da Google Play Store em URL: hxxps: //acesso.sincronizadorltoken [.] Com / playstore_downloadS34 e hospedou o aplicativo Itaú Unibanco falso; os dados da página indicam 1.895.897 downloads.

Com agências de notícias internacionais

Compartilhar:

Últimas Notícias