Segundo o relatório da Zimperium, os 10 principais trojans bancários do Android miram em apps mais baixados, acima de 1 bilhão de downloads.
Os trojans bancários móveis se escondem atrás de aplicativos aparentemente benignos, como ferramentas de produtividade e jogos, e geralmente se infiltram na Google Play Store, a loja de aplicativos oficial do Android.
Depois de infectar um dispositivo, eles sobrepõem páginas de login em aplicativos bancários e financeiros legítimos para roubar credenciais de contas, monitorar notificações para obter OTPs e até mesmo realizar fraudes financeiras no dispositivo, abusando dos serviços de acessibilidade para executar ações como o usuário.
Os dez trojans bancários móveis Android mais prolíficos têm como alvo 639 aplicativos financeiros que coletivamente têm mais de um bilhão de downloads na Google Play Store.
10 principais trojans bancários do Android miram em apps mais baixados
De acordo com um relatório da Zimperium que dá uma visão geral do ecossistema Android no primeiro trimestre de 2021, cada um desses trojans assumiu um lugar único no mercado por quantas organizações eles visam, bem como pela funcionalidade que os diferencia dos demais.
Essa descoberta é muito preocupante, pois de acordo com pesquisas de 2021, três em cada quatro entrevistados nos EUA usam aplicativos bancários para realizar suas atividades bancárias diárias, fornecendo um enorme conjunto de alvos para esses trojans.
Os Estados Unidos lideram a lista dos países mais segmentados com 121 aplicativos segmentados. O Reino Unido segue com 55 aplicativos, Itália com 43, Turquia com 34, Austrália com 33 e França com 31.
O trojan que tem como alvo a maioria dos aplicativos é o Teabot, cobrindo 410 dos 639 rastreados, enquanto o Exobot também tem como alvo um conjunto considerável de 324 aplicativos.
O aplicativo direcionado com mais downloads é o PhonePe, muito popular na Índia, com 100 milhões de downloads na Play Store.
Binance, o popular aplicativo de troca de criptomoedas, conta com 50 milhões de downloads. O Cash App, um serviço de pagamento móvel que cobre os EUA e o Reino Unido, também possui 50 milhões de instalações na Play Store.
Ambos também são alvo de vários trojans bancários, mesmo que não ofereçam serviços bancários convencionais.
O aplicativo mais visado é o BBVA, um portal bancário online global com dezenas de milhões de downloads. Este aplicativo é alvo de sete dos dez trojans bancários mais ativos.
Os trojans bancários mais prolíficos no primeiro trimestre deste ano, de acordo com Zimperium, são os seguintes.:
- BianLian – Tem como alvo Binance, BBVA e uma variedade de aplicativos turcos. Uma nova versão do trojan descoberto em abril de 2022 apresenta o desvio do photoTAN, que é considerado um método de autenticação forte em bancos online.
- Cabassous – Alvos Barclays, CommBank, Halifax, Lloys e Santander. Usa o algoritmo de geração de domínio (DGA) para evitar detecção e remoções.
- Coper – Tem como público-alvo BBVA, Caixa Bank, CommBank e Santander. Ele monitora ativamente a “lista de permissões” de otimização da bateria do dispositivo e a modifica para se isentar de restrições.
- EventBot – Alvos Barclays, Intensa, BancoPosta e vários outros aplicativos italianos. Ele se esconde como Microsoft Word ou Adobe Flash e pode baixar novos módulos de malware de fontes remotas.
- Exobot – Tem como alvo PayPal, Binance, Cash App, Barclays, BBVA e CaixaBank. É muito pequeno e leve porque usa bibliotecas de sistema compartilhadas e busca sobreposições do C2 somente quando necessário.
- FluBot – direcionado ao BBVA, Caixa, Santander e vários outros aplicativos espanhóis. O trojan botnet era notório por sua rápida distribuição usando SMS e listas de contatos de dispositivos comprometidos.
- Medusa – Tem como alvo BBVA, CaixaBank, Ziraat e uma variedade de aplicativos de bancos turcos. Ele pode realizar fraudes no dispositivo abusando do serviço de acessibilidade para agir como um usuário normal em nome da vítima.
- Sharkbot – Tem como alvo Binance, BBVA e Coinbase. Ele apresenta um rico conjunto de recursos de evasão de detecção e antiexclusão, bem como criptografia de comunicação C2 forte.
- Teabot – Tem como alvo PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile e Coinbase. Ele possui um keylogger especial para cada aplicativo e o carrega quando o usuário o inicia.
- Xenomorph – Tem como alvo o BBVA e vários aplicativos bancários baseados na UE. Ele também pode servir como um conta-gotas para buscar malware adicional no dispositivo comprometido.
Como fica claro a partir do exposto, cada um dos dez trojans bancários mais prolíficos mantém seu próprio escopo de segmentação relativamente estreito, para que o ecossistema seja equilibrado e os operadores possam escolher a ferramenta que corresponda ao seu público-alvo.
Para se proteger de todas essas ameaças, mantenha seu dispositivo atualizado, instale apenas aplicativos da Google Play Store, verifique as avaliações dos usuários, visite o site do desenvolvedor e mantenha o número mínimo de aplicativos instalados em seu dispositivo.