Um novo malware chamado Xenomorph infetou dezenas de milhares de telefones Android e foi projetado para roubar informações de contas financeiras em Portugal, Espanha, Itália e Bélgica. Segundo informações, o esquema aproveita falhas no sistema da Google e o malware está a ser propagado em aplicações supostamente seguras da Google Play Store oficial.
Os investigadores de uma empresa de segurança analisaram esta evolução, encontraram um código claro e ligações ao conhecido trojan bancário Alien.
Malware para Android rouba acessos às apps bancárias
Esta combinação entre estes dois tipos de malware sugere que, ou Xenomorph é o sucessor de Alien ou um cibercriminoso está a trabalhar em ambos.
O malware Xenomorph, tal como outros do seu género, visa roubar informações financeiras sensíveis, assumir contas bancárias, realizar transações não autorizadas e vender os dados roubados a compradores interessados.
As funcionalidades deste malware não estão totalmente desenvolvidas de acordo com a investigação, mas o trojan poderia representar uma grande ameaça uma vez que visa 56 bancos e poderia atingir um potencial “comparável a outros modernos Trojans bancários Android”.
A lista de alvos de sobreposição recebida pelo Xenomorph inclui alvos da Espanha, Portugal, Itália e Bélgica, bem como algumas apps de uso geral, como serviços de e-mail e carteiras de criptomoedas.
Mas, como poderá atuar este malware?
Segundo o que é dito, este mecanismo malicioso pode intercetar notificações, registar SMS e utilizar injeções para efetuar ataques de overlay, de modo a que já possa capturar credenciais e palavras-passe únicas utilizadas para proteger contas bancárias.
Assim que chegue aos smartphones Android, e após a sua instalação, a primeira medida a tomar é enviar uma lista dos pacotes instalados no dispositivo infetado para carregar as sobreposições apropriadas.
Para o conseguir, o malware pede permissões ao Serviço de Acessibilidade no momento da instalação e depois abusa dos privilégios para conceder a si próprio permissões adicionais conforme necessário:
O seu motor de acessibilidade é muito detalhado e concebido com uma abordagem modular em mente. Contém módulos para cada ação específica exigida pelo bot e pode ser facilmente alargada para suportar mais funcionalidade. Não seria surpreendente ver este bot com capacidades semi-ATS num futuro muito próximo.
Advertiu a empresa de segurança ThreatFabric.
De dentro da Google para o mundo
O malware Xenomorph foi distribuído na Google Play através de aplicações genéricas que afirmam “aumentar o desempenho”, como, por exemplo, o “Fast Cleaner”. Estas utilidades são um chamariz clássico dos Trojans bancários e já vimos isto com o malware Alien.
O esquema para enganar a Google é “simples”. Isto é, primeiro a app consegue evitar a rejeição durante a revisão da aplicação na loja, pois está “limpa”. Contudo, após ser aceite a app Fast Cleaner recebe a carga útil, assim que é instalada no Android.
A Google esforçou-se muito para proteger a Play Store, mas ainda há malware a ser distribuído a partir daí. Os utilizadores também precisam de fazer a sua parte, descarregando apenas as aplicações mais fiáveis.
Esqueça qualquer coisa que prometa “aumentar o desempenho”. Estas são meras aplicações de lixo que não fazem nada do que prometem. Ou pior, são utilizados para distribuir malware.