Pesquisadores do ThreatFabric revelou como Trojans bancários Android infectam 300.000 usuários do Google Play. Confira os detalhes.
Campanhas de malware distribuindo cavalos de Troia Android que roubam credenciais de bancos online infectaram quase 300.000 dispositivos por meio de aplicativos maliciosos enviados por meio da Play Store do Google.
Trojans bancários Android infectam 300.000 usuários do Google Play
Os trojans bancários Android entregues em dispositivos comprometidos tentam roubar as credenciais dos usuários quando eles fazem login em um banco online ou em aplicativos de criptomoeda.
O roubo de credenciais é comumente feito usando sobreposições de formulários de login de banco falsas exibidas na parte superior das telas de login de aplicativos legítimos.
As credenciais roubadas são então enviadas de volta para os servidores do invasor, onde são coletadas para serem vendidas a outros atores da ameaça ou usadas para roubar criptomoedas e dinheiro das contas das vítimas.
Em um novo relatório do ThreatFabric, os pesquisadores explicam como descobriram quatro campanhas diferentes de dropper de malware distribuindo cavalos de Troia bancários na Google Play Store.
Embora os agentes de ameaças que se infiltram na Google Play Store com cavalos de troia bancários Android não sejam novidade, as mudanças recentes nas políticas do Google e o aumento do policiamento forçaram os agentes de ameaças a desenvolver suas táticas para evitar a detecção.
Essa evolução inclui a criação de pequenos aplicativos de aparência realista que se concentram em temas comuns, como fitness, criptomoeda, códigos QR e digitalização de PDF para enganar os usuários e fazê-los instalar o aplicativo. Em seguida, para adicionar mais legitimidade aos aplicativos, os atores da ameaça criam sites que se encaixam no tema do aplicativo para ajudar a passar as avaliações do Google.
Além disso, o ThreatFabric viu esses aplicativos serem distribuídos apenas para regiões específicas ou em datas posteriores para evitar ainda mais a detecção do Google e de fornecedores de antivírus.
“Este policiamento do Google forçou os atores a encontrar maneiras de reduzir significativamente a pegada de aplicativos de conta-gotas. Além dos esforços de código de malware aprimorados, as campanhas de distribuição do Google Play também são mais refinadas do que as campanhas anteriores”, explicam os pesquisadores do ThreatFabric em seu novo relatório.
“Por exemplo, introduzindo pequenas atualizações de código malicioso cuidadosamente planejadas por um período mais longo no Google Play, bem como ostentando um back-end C2 conta-gotas para corresponder totalmente ao tema do aplicativo conta-gotas (por exemplo, um site de condicionamento físico em funcionamento para um aplicativo focado em exercícios). “
No entanto, assim que esses aplicativos “dropper” forem instalados, eles se comunicarão silenciosamente com o servidor do agente da ameaça para receber comandos.
Quando estiver pronto para distribuir o cavalo de Troia bancário, o servidor do agente da ameaça dirá ao aplicativo instalado para realizar uma falsa “atualização” que “descarta” e inicia o malware no dispositivo Android.
Desde julho de 2021, o ThreatFabric tem esses aplicativos falsos lançando quatro cavalos de Troia bancários diferentes chamados ‘Alien’, ‘Hydra’, ‘Ermac’ e ‘Anatsa’ por meio de dezesseis aplicativos diferentes.
Os aplicativos “dropper” conhecidos por serem usados durante essas campanhas de distribuição de malware são:
- Two Factor Authenticator
- Protection Guard
- QR CreatorScanner
- Master Scanner
- QR Scanner 2021
- QR Scanner
- PDF Document Scanner – Scan to PDF
- PDF Document Scanner
- PDF Document Scanner Free
- CryptoTracker
- Gym and Fitness Trainer
Outros aplicativos maliciosos vistos instalados pelos droppers acima e seus trojans bancários associados são:
- Master Scanner Live (Alien trojan)
- Gym and Fitness Trainer (Alien trojan)
- PDF AI : TEXT RECOGNIZER (Anatsa trojan)
- QR CreatorScanner (Hydra trojan)
- QR CreatorScanner (Ermac trojan)
Durante esses quatro meses de atividade maliciosa, o ThreatFrabric descobriu que os conta-gotas foram instalados 300.000 vezes, com alguns conta-gotas individuais instalados mais de 50.000 vezes.
O número de bancos, aplicativos de transferência de dinheiro, trocas de criptomoedas, carteiras de criptomoedas e serviços de correio é impressionante, com aproximadamente 537 sites online e aplicativos móveis direcionados para o roubo de credenciais.
As organizações visadas incluem Gmail, Chase, Citibank, HSBC, Coinbase, Kraken, Binance, KuCoin, CashApp, Zelle, TrustWallet, MetaMask e muito mais.
Desde então, o Google removeu todos esses aplicativos maliciosos da Play Store e você também deve removê-los imediatamente do seu dispositivo Android, se tiver algum deles instalado.
Se você instalou qualquer um dos aplicativos acima, deve removê-los imediatamente do seu dispositivo Android.
Além disso, devido às técnicas em evolução usadas pelos desenvolvedores de malware do Android, os usuários devem prestar mais atenção às permissões solicitadas pelos aplicativos e bloquear a instalação se elas parecerem muito amplas.