BB, Itaú, Caixa e Bradesco na mira do BankBot

telas falsas de mobile banking

clique para ampliar

Quatro bancos brasileiros estão na mira de um trojan projetado para o sistema operacional Android: Banco do Brasil, Itaú Unibanco, Bradesco e Caixa Econômica Federal. Mas não é só: o malware bancário Android.BankBot.495.origin também rouba credenciais de Netflix, Itaucard, Uber e Twitter.  A descoberta foi anunciada pela Dr. Web, uma das mais antigas fabricantes de antivírus, que tem sede em Moscou e não opera no Brasil. O malware foi escondido em pelo menos três aplicativos armazenados na loja Google Play, removidos de lá depois da denúncia de contaminação. No entanto, é possível que eles voltem a qualquer momento com outro disfarce, alerta a empresa.

Método

Os aplicativos contaminados se chamavam  WLocaliza Ache Já, WhatsWhere Ache Já e WhatsLocal Ache Já, todos prometendo ao usuário listar todas as pessoas que haviam visitado seus perfis em redes sociais. Na verdade, nada disso acontecia. Logo na instalação os apps pediam permissão para uso da acessibilidade do telefone. Com isso, podiam ler as telas de todas as aplicações abertas e acionar qualquer botão ou link. Esse recurso servia, por exemplo, para derrubar tentativas de desinstalação: ao registrar qualquer evento desse tipo, o malware acionava quatro vezes consecutivas o botão ‘back’.

Logo depois disso, a janela de acessibilidade era escondida. Na etapa seguinte o malware requisitava ao sistema permissão para aplicar telas sobre os aplicativos do usuário (android.permission.ACTION_MANAGE_OVERLAY_PERMISSION) e a seguir respondia automaticamente ‘Permitir’. O passo seguinte era acessar – sem visualização para o usuário – quatro URLs em dois IPs diferentes: um armazenava todas as telas falsas e outro era o servidor de comando e controle para onde as credenciais deveriam ser enviadas.

Depois de criar uma lista de todas as aplicações instaladas, o Android.BankBot.495.origin começa a trabalhar no roubo de credenciais, disparando o uso dos aplicativos, solicitando números de agências, contas, senhas, tokens e quaisquer outros dados necessários em transações.

 

229Shares

, , ,

Powered by WordPress. Designed by Woo Themes