Novo vírus cria gêmeo virtual de apps bancários no celular para roubar dados
Celulares com Android são o alvo de uma ameaça bancária recém descoberta que é sofisticada em funcionamento, além de utilizar um mecanismo original de invasão. A empresa de cibersegurança Zimperium zLabs descobriu o vírus e detalhou o caso em uma publicação no blog da empresa.
O malware foi batizado de GodFather, que significa “padrinho” em inglês e é também o título original do clássico do cinema O Poderoso Chefão, dirigido por Francis Ford Coppola. Ele age principalmente contra aplicativos bancários, para roubar informações que garantam o acesso da conta da vítima aos criminosos.
Leia também: Facebook ganha chaves de acesso como alternativa das senhas; ative e conheça esse login
Como o GodFather engana você
O segredo do GodFather está na forma com que ele engana o usuário. Malwares bancários tradicionais utilizam uma tela falsa de login ou técnicas para tentar extrair credenciais de acesso, como roubo de cookies e keyloggers.
O início da infecção é mais parecido com outras invasões. O conteúdo malicioso fica escondido dentro de APKs, que são arquivos executáveis de aplicativos para Android com instalação feita por fora do ambiente da Google Play Store;Ao instalar o app falso, o usuário acaba liberando acesso ao GodFather para baixar o seu conteúdo completo e estabelecer ainda uma conexão entre o dispositivo da vítima e o servidor dos cibercriminosos;Simultaneamente, o malware pede ao usuário uma série de permissões de acessibilidade, que são recursos normalmente úteis e inofensivos. Aqui, porém, a ideia é conseguir acesso a certos privilégios, como leitura de conteúdos da tela e do que é digitado no teclado virtual;O app fraudulento pede acesso às opções de acessibilidade, o que pode ser aceito sem querer por usuários distraídos. (Imagem: Reprodução/Zimperium zLabs)Além disso, o grande trunfo da ferramenta está no processo de virtualização. Ele cria uma cópia dos apps bancários do usuário em uma máquina virtual e, quando a vítima tenta acessar os serviços originais, o malware que serve de “casca” abre esse gêmeo no lugar;Na virtualização, o app bancário roda com a mesma interface da ferramenta original e até permite o acesso a todas as funções da plataforma. A diferença é que, aqui, os criminosos enxergam e coletam nesse ambiente tudo o que é selecionado ou digitado — incluindo login, senha, códigos PIN e tokens;O golpe consegue até mesmo roubar o código ou padrão de desbloqueio da tela do aparelho, inserindo uma tela falsa sobreposta à original para ganhar ainda mais acesso ao dispositivo.
Para além da virtualização do app, o malware também utiliza o clássico método de sobrepor uma página falsa de login, caso o método de criação de cópia do serviço original não funcione. Dessa forma, ele pode fazer vítimas até mesmo entre quem acha que conseguiu se livrar da técnica mais avançada de enganação desse golpe.
O clássico método de phishing envolvendo tela de login de apps bancários. (Imagem: Reprodução/Zimperium zLabs)
Por enquanto, felizmente, o ataque é bastante direcionado e envolve algumas instituições financeiras da Turquia. Porém, já foram identificados mais de 480 aplicativos que podem servir de alvo do GodFather, incluindo bancos, fintechs e corretoras de criptomoedas.
Além disso, o sucesso da estratégia pode fazer com que esse modelo de invasão se espalhe para mais localidades e até seja comercializado com outros cibercriminosos interessados, o que serve de alerta para futuras variantes com a mesma estrutura. A recomendação é evitar a instalação de APKs no Android e sempre prestar atenção na hora de conceder ou não permissões do aparelho a serviços baixados, mesmo se você utilizar a Google Play Store.
Saiba mais: Por que e como escolher uma VPN segura para assistir à streamings?