ESET alerta para trojan bancário na Google Play Store
Créditos: PSafe/dfndr Blog

ESET alerta para trojan bancário na Google Play Store

Conhecido como Defensor ID, ele visa usuários brasileiros

Pesquisadores de segurança da ESET descobriram um novo trojan bancário na Google Play Store disfarçado como o aplicativo “Defensor ID”. Ele é capaz de roubar informações como dados bancários, informações de carteiras de criptomoedas e credenciais de login para serviços de email e redes sociais.

Um ponto que chama a atenção é que após sua instalação, ele requer que o usuário habilite o Serviço de Acessibilidade do Android, considerado como um dos pontos mais fracos do sistema operacional. Muitas soluções de segurança podem detectar o uso combinado se serviços de acessibilidade com outras permissões, funções/recursos maliciosos. No caso do Defensor ID, as soluções de segurança não foram capazes de alertar o usuário porque os criadores do trojan reduziram ao máximo sua superfície maliciosa.

29/04/2020 às 17:43
Notícia

Grupo de hackers usa Google Play para distribuir spyware há anos

Aplicativos eram introduzidos em versões limpas, mas logo eram atualizados com o malware

De acordo com a ESET, o Defensor ID foi lançado no início de fevereiro e atualizado pela última vez no dia 6 de maio. Dados da Google Play Store mostram que ele foi baixado por um pequeno número de usuários (pouco mais de 10). A empresa de segurança notificou a Google sobre o trojan bancário na loja no último dia 16 e ele acabou sendo removido no dia 19.

A listagem do Defensor ID na Google Play Store mostrava o desenvolvedor do aplicativo como GAS Brazil – um indício de que o foco era mesmo roubar informações de usuários brasileiros. A inclusão de “GAS” no nome provavelmente tinha como objetivo fazer com que os usuários pensassem que ele era um aplicativo desenvolvido pela GAS Tecnologia, empresa responsável pelos plugins de diversos serviços de internet banking.

Outro detalhe sobre o aplicativo, que prometia oferecer novos recursos de segurança como a criptografia de ponta a ponta para os aplicativos instalados, é que ele foi listado incorretamente na categoria “Educação” da loja:

ESET alerta para trojan bancário na Google Play Store

Depois de instalado, o aplicativo solicita permissões para modificar as configurações do sistema, para ser exibido em outros aplicativos e para ativar os serviços de acessibilidade. Se o usuário fornecer as permissões, o trojan bancário poderá visualizar qualquer texto exibido em qualquer aplicativo instalado no aparelho do usuário e enviar as informações aos criadores do malware. Outro ponto importante é que como o malware também pode ter acesso a SMS, ele é capaz de visualizar os códigos enviados como parte do processo de autenticação de dois fatores utilizado por muitos sites e serviços. O acesso do trojan aos serviços de acessibilidade também permite que ele continue funcionando normalmente mesmo após a reinicialização do aparelho.

Continua após a publicidade

Depois de instalado e de ter recebido as permissões necessárias, o aplicativo poderá receber comandos a partir do servidor de comando e controle dos criminosos por trás dele. Os comandos permitem que ele realize ações como executar aplicativos, desinstalar aplicativos e executar ações de clique/toque.

Enquanto analisavam o aplicativo malicio, os pesquisadores da ESET descobriram que os criminosos por trás dele deixaram o banco de dados com as informações do usuário totalmente exposto na Web. Ele listava as atividades em cerca de 60 aparelhos comprometidos pelo malware.

Os usuários precisam ter cuidado redobrado na hora de baixar aplicativos a partir de qualquer fonte, mesmo as oficiais como a Google Play Store. Esta não foi a primeira vez que aplicativos maliciosos aparecem na loja da Google e nem será a última.

Via: CanalTech Fonte: ESET
User img

Fabio Rosolen

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.