Neste ano, surgiram dez novas famílias de cavalos de Troia (trojans) bancários para Android, que tiveram como alvo 985 aplicativos bancários de fintechs e instituições financeiras em 61 países. Os trojans bancários são malwares que têm como alvo contas bancárias online, que roubam credenciais e cookies de sessão, ignorando a autenticação de dois fatores (2FA) e, às vezes, até realizando transações automaticamente.
Além dos dez novos trojans lançados neste ano, 19 famílias a partir de 2022 foram modificadas para incorporar novas capacidades e aumentar sua sofisticação operacional.
A empresa de segurança móvel Zimperium analisou todos os 29 trojans e informou que as tendências emergentes incluem:
- A adição de um sistema de transferência automatizada (ATS) que captura tokens de autenticação multifator (MFA), inicia transações e realiza transferências de fundos.
- O envolvimento de etapas de engenharia social, como os cibercriminosos se passando por técnicos de suporte ao cliente direcionando as vítimas para baixar as cargas úteis do trojan.
- A adição do recurso de compartilhamento de tela ao vivo para interação remota direta com o dispositivo infectado.
- Oferta do malware em um pacote de assinatura para outros cibercriminosos por US$ 3 mil a US$ 7 mil por mês.
Os recursos padrão disponíveis na maioria dos trojans examinados incluem keylogging, sobreposição de páginas de phishing e roubo de mensagens SMS.
Outro desenvolvimento preocupante é que os trojans bancários estão deixando de roubar credenciais bancárias e dinheiro e agora também estão visando mídias sociais, mensagens e dados pessoais.
Novos trojans bancários
A Zimperium examinou os dez novos trojans bancários com mais de 2.100 variantes circulando no mercado, disfarçados de utilitários especiais, aplicativos de produtividade, portais de entretenimento, ferramentas de fotografia, jogos e auxílios educacionais.
Os dez novos trojans estão listados abaixo:
- Nexus: MaaS (malware-as-a-service) com 498 variantes que oferece compartilhamento de tela ao vivo, visando 39 aplicativos em nove países.
- Godfather: MaaS com 1.171 variantes conhecidas visando 237 aplicativos bancários em 57 países. Ele suporta compartilhamento remoto de tela.
- Pixpirate: Trojan com 123 variantes conhecidas, alimentado por um módulo ATS. Ele tem como alvo dez aplicativos de bancos.
- Saderat: Trojan com 300 variantes visando oito aplicativos bancários em 23 países.
- Hook: MaaS com 14 variantes conhecidas alimentadas pelo compartilhamento de tela ao vivo. Ele tem como alvo 468 aplicativos em 43 países e é alugado para cibercriminosos por US$ 7 mil/mês.
- PixBankBot: Trojan com três variantes conhecidas visando quatro aplicativos bancários. Ele vem com um módulo ATS para fraude no dispositivo.
- Xenomorph v3: operação MaaS com seis variantes capazes de operações ATS, visando 83 aplicativos bancários em 14 países.
- Vultur: Trojan com nove variantes visando 122 aplicativos bancários em 15 países.
- BrasDex: Trojan que tem como alvo oito aplicativos bancários no Brasil.
- GoatRat: Trojan com 52 variantes conhecidas habilitadas por um módulo ATS, visando seis aplicativos bancários.
Veja isso
Notificação judicial falsa distribui trojan na América Latina
Trojans bancários: Brasil lidera índice de propagação global
Das famílias de malware que existiam em 2022 e foram atualizadas neste ano, as que mantêm atividade notável são o Teabot, Exobot, Mysterybot, Medusa, Cabossous, Anúbis e Coper.
Em relação aos países mais visados, em primeiro lugar na lista estão os Estados Unidos (109 aplicativos de banco segmentados), seguidos pelo Reino Unido (48 aplicativos de banco), Itália (44 aplicativos), Austrália (34), Turquia (32), França (30), Espanha (29), Portugal (27), Alemanha (23) e Canadá (17).
Para se proteger contra essas ameaças, evite baixar APKs de fora do Google Play, a única loja oficial de aplicativos do Android, e mesmo nessa plataforma, leia atentamente as avaliações dos usuários e realize uma verificação de antecedentes no desenvolvedor/editor do aplicativo.
Durante a instalação, preste muita atenção às permissões solicitadas e nunca conceda acesso aos ‘Serviços de Acessibilidade’, a menos que você tenha certeza disso. Se um aplicativo solicitar o download de uma atualização de uma fonte externa no primeiro lançamento, ele deve ser tratado com suspeita e totalmente evitado, se possível. Por fim, nunca toque em links incorporados a SMS ou a mensagens de e-mail de remetentes desconhecidos.
Para ter acesso ao relatório completo, em inglês, da Zimperium, clique aqui.