A FireEye descobriu um malware para Android que junta em um só pacote várias funcionalidades para roubar credenciais do aparelho, ler e enviar SMS, lista de contatos, iniciar atualizações maliciosas, procurar apps bancários e substituí-los por falsos e ainda desabilitar as funcionalidades de antivírus. O malware se disfarça como “Google Service Framework” e depois de instalado não pode ser removido. Seu comportamento é similar ao que se passava pelo Google Play Store, descoberto há duas semanas pela FireEye. Este é muito mais avançado e perigoso, com aspectos únicos, como o uso de uma ferramenta de acesso remoto (é um RAT ou Remote Acess Tool), que permite controle do aparelho à distância.
A função mais perigosa descoberta pela FireEye é a capacidade do malware de buscar aplicativos de bancos e substituí-los por apps falsos. Ainda não foram descobertas quais as funcionalidades destes apps falsos, que devem ser ativados e controlados via RAT pelo invasor. Por enquanto, o invasor se limitou a falsificar os aplicativos de oito bancos coreanos, porém, com algumas modificações, o malware pode ser modificado e novos bancos podem ser adicionados em apenas 30 minutos.
A FireEye ainda não divulgou a fonte exata da distribuição do malware. O arquivo não pode ser baixado e não está vinculado a Google Play Store. Conforme constatado pela FireEye, o invasor ainda não explorou todas as funcionalidades do malware, mas preparou a estrutura do ataque para receber mais comandos de um servidor CnC (Command and Control) assim que os métodos de assalto estiverem prontos. Dada a natureza única de como este app falso funciona, incluindo sua capacidade de desmantelar múltiplos níveis de informação pessoal e personificar apps bancários, os pesquisadores da FireEye esperam por uma ameaça a aparelhos móveis ainda mais forte. Segundo informações do site Virus Total¹, apenas 3 de 51 antivírus conseguem detectar o malware.
