Observou-se que aplicativos Android maliciosos disfarçados de Google, Instagram, Snapchat, WhatsApp e X (antigo Twitter) roubam credenciais de usuários de dispositivos comprometidos.
“Este malware usa ícones famosos de aplicativos Android para enganar os usuários e enganar as vítimas para que instalem o aplicativo malicioso em seus dispositivos”, disse a equipe de pesquisa de ameaças do SonicWall Seize Labs em um relatório recente.
O vetor de distribuição da campanha ainda não está claro. No entanto, depois que o aplicativo é instalado nos telefones dos usuários, ele solicita que concedam permissões aos serviços de acessibilidade e à API do administrador do dispositivo, um recurso agora obsoleto que fornece recursos de administração de dispositivos no nível do sistema.
A obtenção dessas permissões permite que o aplicativo nocivo obtenha controle sobre o dispositivo, possibilitando a realização de ações arbitrárias que vão desde roubo de dados até implantação de malware sem o conhecimento das vítimas.
O malware foi projetado para estabelecer conexões com um servidor de comando e controle (C2) para receber comandos para execução, permitindo acessar listas de contatos, mensagens SMS, registros de chamadas, lista de aplicativos instalados; enviar mensagens SMS; abra páginas de phishing no navegador da internet e ative a lanterna da câmera.
Os URLs de phishing imitam as páginas de login de serviços conhecidos como Fb, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.
O desenvolvimento ocorre no momento em que a Symantec, de propriedade da Broadcom, alerta sobre uma campanha de engenharia social que emprega o WhatsApp como vetor de entrega para propagar um novo malware Android, fazendo-se passar por um aplicativo relacionado à defesa.
“Após a entrega bem-sucedida, o aplicativo se instalaria sob o disfarce de um aplicativo de Contatos”, disse a Symantec. “Após a execução, o aplicativo solicitaria permissões para SMS, Contatos, Armazenamento e Telefone e, posteriormente, seria removido da visualização.”
Ele também segue a descoberta de campanhas de malware que distribuem trojans bancários Android como o Coper, que é capaz de coletar informações confidenciais e exibir sobreposições de janelas falsas, enganando os usuários para que entreguem suas credenciais sem saber.
Na semana passada, o Centro Nacional de Segurança Cibernética da Finlândia (NCSC-FI) revelou que mensagens smishing estão sendo usadas para direcionar os usuários a malware Android que rouba dados bancários.
A cadeia de ataque utiliza uma técnica chamada entrega de ataque orientada por telefone (TOAD), em que as mensagens SMS incentivam os destinatários a ligar para um número em conexão com uma reclamação de cobrança de dívidas.
Assim que a ligação é feita, o golpista do outro lado informa à vítima que a mensagem é fraudulenta e que ela deve instalar um aplicativo antivírus em seu telefone para proteção.
Eles também instruem o chamador a clicar em um hyperlink enviado em uma segunda mensagem de texto para instalar o suposto software program de segurança, mas, na realidade, é um malware projetado para roubar credenciais de contas bancárias on-line e, em última análise, realizar transferências não autorizadas de fundos.
Embora a cepa exata de malware Android usada no ataque não tenha sido identificada pelo NCSC-FI, suspeita-se que seja o Vultr, que foi detalhado pelo NCC Group no início do mês passado como aproveitando um processo praticamente idêntico para se infiltrar em dispositivos.
Malwares baseados em Android, como Tambir e Dwphon, também foram detectados nos últimos meses com vários recursos de coleta de dispositivos, com o último direcionado a telefones celulares de fabricantes de celulares chineses e destinados principalmente ao mercado russo.
“O Dwphon vem como um componente do aplicativo de atualização do sistema e exibe muitas características de malware Android pré-instalado”, disse Kaspersky.
“O caminho exato da infecção não está claro, mas presume-se que o aplicativo infectado foi incorporado ao firmware como resultado de um possível ataque à cadeia de suprimentos”.
Os dados de telemetria analisados pela empresa russa de cibersegurança mostram que o número de utilizadores Android atacados por malware bancário aumentou 32% em comparação com o ano anterior, saltando de 57.219 para 75.521. A maioria das infecções foi relatada na Turquia, Arábia Saudita, Espanha, Suíça e Índia.
“Embora o número de usuários afetados por malware bancário para PC proceed diminuindo, (…) o ano de 2023 viu o número de usuários que encontraram cavalos de Tróia bancários móveis aumentar significativamente”, observou Kaspersky.