Faketoken usa logins falsos e telas de sobreposição de phishing para roubar credenciais e filtrar números de autenticação de transação móvel (mTAN)
Um Trojan bancário Android, denominado Faketoken, foi observado recentemente por pesquisadores de segurança enquanto drenava as contas de suas vítimas para alimentar campanhas ofensivas em massa direcionadas a dispositivos móveis de todo o mundo.
O Faketoken é uma variedade de malware para Android citada pela primeira vez em um relatório da F-Secure de 2012 e age como um interceptor de número de autenticação de transação móvel (mTAN) camuflado como um gerador de token móvel, um trojan que posteriormente adicionou recursos de ransomware em dezembro de 2016.
Além de usar logins falsos e telas de sobreposição de phishing para roubar credenciais e filtrar números mTAN usados pelos bancos para validar transações on-line, o malware também pode gerar páginas de phishing personalizadas direcionadas a mais de 2,2 mil aplicativos financeiros e roubar informações de dispositivos, como os números IMEI e IMSI, o número de telefone e muito mais.
O trojan também é capaz de imitar aplicativos usados para chamar serviços de táxi ou pagar bilhetes de transporte coletivo com o objetivo de coletar dados de cartões de crédito e débito, como a Kaspersky Lab descobriu em agosto de 2017.
O malware bancário virou ferramenta de mensagens de texto ofensiva em massa. Enquanto a grande maioria dos malwares móveis vem com o recurso de SMS pronto para uso e o utiliza para vários propósitos, incluindo a interceptação de mensagens de texto e a disseminação para outros dispositivos, o malware bancário utilizado para enviar textos em massa é bastante incomum.
Quando consegue infectar um dispositivo, o Faketoken verifica se a conta bancária da vítima têm saldo suficiente e usará os cartões roubados para adicionar crédito ao aparelho móvel da vítima. Depois de se certificar que o saldo está pronto para desviado, a Faketoken continuará enviando mensagens de texto ofensivas para números de telefones locais e internacionais para infectar dispositivos em todo o mundo.
As mensagens do Faketoken são cobradas dos proprietários do dispositivo infectado. Se a conta tiver dinheiro, o malware usará o cartão para recarregar a conta móvel antes de continuar com as mensagens.
Essa tática permite desviar as contas bancárias das vítimas e, considerando que os pesquisadores da Kaspersky Lab foram capazes de detectar cerca de 5 mil smartphones infectados com essa variante, os hackers podem adicionar rapidamente mais dinheiro se outros também forem infectados.
Além de esgotar contas bancárias para financiar seus ataques em massa a dispositivos móveis de todo o mundo, o Faketoken também pode executar uma ampla variedade de outras ações conforme as instruções dos invasores:
• Change masks to intercept incoming text messages;
• Send text messages to a specified number with a specified text;
• Send text messages with a specified text to a specified list of recipients;
• Send a specified text message to all contacts;
• Upload all text messages from the device to the malicious server;
• Upload all the contacts from the device to the malicious server;
• Upload the list of installed applications to the malicious server;
• Reset the device to factory settings;
• Make a call to a specified number;
• Download a file to the device following a specified link;
• Remove specified applications;
• Create a notification on the phone to open a specified page or run a specified application;
• Start overlaying specified applications with a specified phishing window;
• Open a specified link in its own window;
• Run an application;
• Block the device in order to extort money for unblocking it. This command may include an option indicating the need to encrypt files.
Medidas de defesa falsas
Para se defender dos recentes ataques de Faketoken, a Kaspersky Lab recomenda instalar apenas aplicativos disponíveis na Google Play Store. Os usuários do Android também são aconselhados a sempre prestar atenção às permissões de acesso solicitadas pelos aplicativos durante a instalação, visto que mesmo os aplicativos baixados da Play Store podem vir com malware.
E, o que é mais importante no caso dessa variante do Faketoken específica, de acordo com a Kaspersky Lab, você “não deve seguir os links das mensagens, a menos que tenha certeza de que elas são seguras – mesmo mensagens de pessoas que você conhece. Por exemplo, se alguém que normalmente publica fotos nas mídias sociais ou as envia através de aplicativos de mensagens instantâneas, envia uma mensagem de texto com um link, isso é um alerta vermelho.
