Trojan bancário simula aplicativos de bancos internacionais no Google Play

Segurança

Com o BankBot, os cibercriminosos miram usuários de apps para dispositivos móveis de grandes bancos internacionais como o Citibank, WellsFargo, Chase e DiBa. Ataques afetam usuários dos Estados Unidos, República Dominicana, Austrália e de países da Europa e Ásia.

Uma equipe de pesquisadores de ameaças em dispositivos móveis da Avast, em colaboração com a ESET e SfyLabs, analisaram uma nova versão do BankBot, que é parte de um malware de mobile banking. O trojan foi detectado no Google Play em inúmeras ocasiões ao longo deste ano, afetando grandes bancos, bem como seus usuários nos Estados Unidos, Austrália, Alemanha, Holanda, França, Polônia, Espanha, Portugal, Turquia, Grécia, Rússia, República Dominicana, Singapura e Filipinas.

Essa nova versão de malware bancário primeiramente foi detectada como um suposto app de lanterna confiável e, mais tarde, como um jogo de paciência e um aplicativo de limpeza, mas ao invés de fazer o que se propunham, coletavam os dados bancários e roubavam o dinheiro dos usuários. 

O malware, detectado no Google Play, foi baixado de uma fonte externa pelos usuários. O Google removeu, previamente, as versões antigas do BankBot mas a Avast detetou diversas versões permaneceram ativas até 17 de novembro, último. O prazo é longo o suficiente para o aplicativo infectar milhares de usuários.

O Google possui medidas para escanear e examinar todos os aplicativos submetidos ao Google Play Store, com o objetivo de assegurar que nenhum app malicioso faça parte da sua lista. Mas autores de trojans bancários para dispositivos móveis começaram a utilizar técnicas especiais para driblar as detecções automáticas, dando início às atividades maliciosas duas horas após o usuário conceder o direito de administrar o seu dispositivo móvel via o aplicativo. Além disso, os cibercriminosos publicaram os aplicativos com nomes de desenvolvedores diferentes, uma prática comum para contornar as verificações do Google.

Dentre as práticas maliciosas está a instalação de uma interface falsa para o usuário, que é criada sobre o aplicativo bancário quando o app é aberto. Os cibercriminosos coletam os dados bancários do usuário, assim que eles são inseridos nessa interface falsa. Em alguns países, os bancos utilizam números de autenticação para transações (TANs), uma forma de autenticação por dois fatores solicitada para a realização de transferências mas o BankBot intercepta as mensagens de texto de suas vítimas, permitindo realizar transferências bancárias em nome do usuário.

A Avast recomenda que os usuários confirmem sempre se o aplicativo em uso é um app válido, que somente use uma “autenticação por dois fatores”, caso o banco ofereça esta opção,  que  verifique a classificação do app dada pelos  usuários e acesse apenas lojas de aplicativos confiáveis, como o Google Play e a App Store da Apple.

Embora o malware tenha sido detectado no Google Play, ele foi baixado de uma fonte externa. Se o usuário desativar a opção de download de aplicativo de uma fonte externa, seu dispositivo móvel estará a salvo contra este tipo de trojan bancário.


Clique para ler a bio do autor  Clique para fechar a bio do autor