Vários aplicativos dentro da Play Store estão/estavam infectados com um novo malware bancário, perigoso não só pelo potencial de infecção existente, mas também pelas ações de roubo executadas, quando o mesmo já se encontra instalado dentro de um celular. Ele é de difícil identificação.
É importante frisar que, mesmo se referindo à um tipo de malware, o mesmo está dividido em 4 famílias diferentes, sendo que somente uma delas (chamada Anatsa) é responsável por infectar quase 70% dos aparelhos, ou seja, 200 mil dos 300 mil afetados. O Anatsa atua, principalmente, registrando captura de tela do smartphone do usuário e com o roubo de informações, por meio dos serviços de acessibilidade do Android. Pedidos de permissão, por exemplo, são “driblados” pelo malware, que de algum modo consegue fugir dos mesmos.
200 mil aparelhos afetados. Como?
Conforme já dito, o malware em si possui um alto potencial infeccioso. Deve-se somar à isso o meio usado pelos criadores dele, que foi roubar informações por meio de um leitor de QR Code. Falando da Anatsa em si, o roubo também se deu por conta do tipo de app disponilizado, tendo como exemplo que um deles era da classe digitalizador de documentos, ou seja, o usuário escaneava arquivos e automaticamente tinha seus dados expostos, sem saber de modo algum disso.
Estes foram alguns dos apps usados para disseminação do malware:
Outra “ramificação” do malware, chamada Alien, é tida como muito avançada, uma vez que não rouba somente dados bancários, mas também chaves de autenticação em dois fatores. A invasão por parte do “Alien” se deu, sobretudo, por meio de um app de exercícios, que possuía até um site próprio para dar legitimidade a si mesmo.
Por que foi dito que esses vírus possuem alto potencial infeccioso? Porque, como foi ressaltado, esses malwares conseguem usar as plataformas de acessibilidade do Android para passar pelas camadas de segurança de qualquer smartphone. Além disso, o roubo efetivo acontece quando o app pede novas atualizações, as quais supostamente virão com melhorias significativas, mas que na realidade carregam nelas mesmas o roubo de dados.
Um fator que contribuiu enormemente para que esses apps se alastrassem foi que eles, em suas primeiras versões, de fato eram funcionais e não foram detectados golpes vindo dos mesmos. E foi aí, nessa falsa credibilidade passada, que o perigo fez morada e o pior cenário possível se confirmou, meses depois. Abaixo, segue a lista de aplicativos (já removidos da Play Store pela Google) utilizados para fins de golpe:
- QR Scanner 2021;
- QR CreatorScanner;
- Master Scanner Live;
- GymDrop;
- Gym and Fitness Trainer;
- PDF Document Scanner;
- CryptoTracker;
- Protection Guard;
- PDF AI: Text Recognizer;
- Flow Division.
Algumas instituições financeiras com atuação no Brasil estariam na lista visada pelos criminosos -Santander, Mercado Livre, Grupo Cajamar e Itaú, bem como o Gmail, Yahoo, Netflix e AliExpress. Ataques à pessoas físicas não foram registrados aqui, ao menos à primeira vista.
Por fim, um convite!
Inscreva-se no nosso canal do Telegram, clicando aqui. Nele, trazemos dicas diárias de software, gestão de empresas e MUITO mais, assim como você viu hoje. Confere aí, tenho certeza que não vai se arrepender! Valeu e um abraço.
Fontes: ThreatFabric; Canaltech.
