Pesquisadores de segurança descobriram sete aplicativos Android maliciosos na Google Play Store disfarçados de soluções antivírus para implantar um trojan bancário chamado SharkBot. “O SharkBot rouba credenciais e informações bancárias”, disseram os pesquisadores da Check Point Software, Alex Shamshur e Raman Ladutska, em um relatório compartilhado com o site The Hacker News. “Esse malware implementa um recurso de geofencing e técnicas de evasão, o que o destaca do resto dos malwares.”
Geofencing faz uso de tecnologias como identificação por radiofrequência (RFID), sistema de posicionamento global (GPS), antenas de celulares e até mesmo sinais de Wi-Fi para estabelecer um perímetro geográfico virtual. A partir disso, é possível configurar disparos de notificações via push, SMS, publicidade em redes sociais ou diversos outros tipos de alertas ou comandos para dispositivos que cruzarem este perímetro, tendo como base a geolocalização do usuário. Em um primeiro momento pode até parecer algo simples, com funções limitadas, mas as possibilidades para o uso dessa tecnologia são muito abrangentes, inclusive ciberataques.
Particularmente, o malware foi projetado para ignorar usuários da China, Índia, Romênia, Rússia, Ucrânia e Bielorrússia. Diz-se que os aplicativos maliciosos foram instalados mais de 15 mil vezes antes de sua remoção, com a maioria das vítimas localizadas na Itália e no Reino Unido.
O relatório complementa as descobertas anteriores do NCC Group, que descobriu que o bankbot se passava por aplicativos antivírus para realizar transações não autorizadas por meio de sistemas de transferência automática (ATS).
O SharkBot aproveita as permissões dos serviços de acessibilidade do Android para apresentar janelas de sobreposição falsas em cima de aplicativos bancários legítimos. Assim, quando usuários desavisados inserem seus nomes de usuário e senhas nas janelas que imitam formulários de entrada de credenciais benignos, os dados capturados são enviados para um servidor malicioso.
Veja isso
Trojans e adware são os malware mais disseminados no Brasil
Trojan é o malware que predomina nos ataques de 2022
Um novo recurso notável do SharkBot é sua capacidade de responder automaticamente às notificações do Facebook Messenger e WhatsApp para distribuir um link de phishing para o aplicativo antivírus, propagando o malware de maneira semelhante a um worm. Um recurso semelhante foi incorporado ao FluBot no início de fevereiro.
“O que também é digno de nota aqui é que os agentes de ameaças enviam mensagens às vítimas contendo links maliciosos, o que leva à adoção generalizada”, disse Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point Software. “Em suma, o uso de mensagens push pelos agentes de ameaças solicitando uma resposta dos usuários é uma técnica de disseminação incomum.”
As últimas descobertas ocorrem quando o Google tomou medidas para remover mais de uma dúzia de aplicativos da Play Store, em 25 de março, que incorporavam um SDK (kit de desenvolvimento de software) invasivo para coletar discretamente dados do usuário, incluindo informações precisas de localização, e-mail e números de telefone, dispositivos próximos e senhas. No entanto, os aplicativos banidos pela coleta proibida de dados do usuário podem solicitar a reintegração na Google Play Store se não incluir mais o SDK, acrescentou o porta-voz do Google.