Aplicativos maliciosos para Android se passam por Google, Instagram e WhatsApp

Foi identificado que aplicativos Android maliciosos, que se passam por Google, Instagram, Snapchat, WhatsApp e X (antigo Twitter), estão comprometendo dispositivos e roubando as credenciais dos usuários.

“Este software malicioso se aproveita dos ícones conhecidos de aplicativos Android para enganar os usuários e induzi-los a instalar o aplicativo prejudicial em seus dispositivos”, afirmou o time de pesquisa de ameaças do SonicWall Capture Labs em um relatório recente.

Ainda não está claro como a campanha de distribuição está sendo realizada. Contudo, uma vez que o aplicativo é instalado nos smartphones dos usuários, ele solicita que sejam concedidas permissões aos serviços de acessibilidade e à API do administrador do dispositivo, um recurso que já está obsoleto, mas que fornece funcionalidades de administração de dispositivos no nível do sistema.

Ao obter essas permissões, o aplicativo malicioso consegue assumir o controle do dispositivo, possibilitando a execução de ações arbitrárias que vão desde o roubo de dados até a instalação de malware sem o conhecimento das vítimas.

O malware foi desenvolvido para estabelecer conexões com um servidor de comando e controle (C2) para receber instruções para execução, permitindo o acesso a listas de contatos, mensagens SMS, registros de chamadas, lista de aplicativos instalados; o envio de mensagens SMS; a abertura de páginas de phishing no navegador da web e a ativação da lanterna da câmera.

Aplicativos maliciosos

Os URLs de phishing estão se passando por páginas de login de serviços amplamente conhecidos como Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress e Yahoo.

Esse fenômeno ocorre simultaneamente ao alerta da Symantec, uma empresa da Broadcom, sobre uma campanha de engenharia social que utiliza o WhatsApp como meio de disseminação de um novo malware Android, que se disfarça como um aplicativo de defesa.

“Depois de ser entregue com sucesso, o aplicativo se instala disfarçado de um aplicativo de Contatos”, informou a Symantec. “Após ser executado, o aplicativo solicita permissões para SMS, Contatos, Armazenamento e Telefone e, em seguida, é removido da tela.”

Isso também acompanha a descoberta de campanhas de malware que distribuem trojans bancários Android, como o Coper, capaz de coletar informações sensíveis e exibir falsas sobreposições de janelas, enganando os usuários a fornecerem suas credenciais sem perceber.

Na semana passada, o Centro Nacional de Segurança Cibernética da Finlândia (NCSC-FI) divulgou que mensagens de smishing estão sendo empregadas para direcionar usuários a um malware Android que furta informações bancárias.

A estratégia de ataque emprega uma técnica conhecida como entrega de ataque orientada por telefone (TOAD), na qual mensagens SMS incentivam os destinatários a fazer uma ligação para um número associado a uma suposta cobrança de dívidas.

Logo que a chamada é realizada, o fraudador do outro lado informa à vítima que a mensagem é uma fraude e que ela precisa instalar um aplicativo antivírus em seu telefone para proteção.

Os golpistas também orientam a vítima a clicar em um link enviado em uma segunda mensagem de texto para instalar o suposto software de segurança. No entanto, na realidade, trata-se de um malware projetado para roubar credenciais de contas bancárias online e, em última instância, realizar transferências de fundos não autorizadas.

Embora a variante exata do malware Android utilizado no ataque não tenha sido identificada pelo NCSC-FI, suspeita-se que seja o Vultr, que foi descrito pelo NCC Group no início do mês passado por utilizar um processo praticamente idêntico para se infiltrar em dispositivos.

Malwares para Android, como Tambir e Dwphon, foram identificados nos últimos meses com diversas funcionalidades de coleta de informações de dispositivos, sendo que o último tem como alvo telefones celulares de fabricantes chineses e é voltado principalmente para o mercado russo.

“Dwphon se apresenta como um componente do aplicativo de atualização do sistema e exibe muitos traços de malware Android pré-instalado”, afirmou Kaspersky.

“A rota exata da infecção ainda é incerta, mas acredita-se que o aplicativo infectado tenha sido incorporado ao firmware devido a um possível ataque à cadeia de suprimentos”.

A análise dos dados de telemetria realizada pela empresa russa de cibersegurança revela que o número de usuários Android atacados por malware bancário aumentou 32% em relação ao ano anterior, passando de 57.219 para 75.521. A maioria das infecções foi registrada na Turquia, Arábia Saudita, Espanha, Suíça e Índia.

“Embora o número de usuários afetados por malware bancário para PC continue a diminuir, […] o ano de 2023 registrou um aumento significativo no número de usuários que encontraram cavalos de Tróia bancários móveis”, destacou Kaspersky.