Os pesquisadores descobriram um novo malware bancário para Android que tem como alvo o Itaú e Unibank com a ajuda de páginas semelhantes na Google Play Store para realizar transações financeiras fraudulentas nos dispositivos das vítimas sem o seu conhecimento.
“Este aplicativo tem um ícone e um nome semelhantes que podem levar os usuários a pensar que é um aplicativo legítimo relacionado ao Itaú Unibanco”, disseram os pesquisadores do Cyble em relatório publicado na semana passada. “O [ator da ameaça] criou uma página falsa da Google Play Store e hospedou o malware que tem como alvo o Itaú Unibanco sob o nome de ‘synchronizador.apk‘.”
A tática de aproveitar as páginas falsas da app store como uma isca não é nova. Em março, Meta (anteriormente Facebook) divulgou detalhes de uma campanha de ataque que usou sua plataforma como parte de uma operação mais ampla para espionar muçulmanos uigures usando sites de terceiros desonestos que usavam domínios de réplica para portais de notícias populares e sites projetados para se assemelhar a terceiros na android app store, onde os invasores colocam aplicativos falsos de teclado, oração e dicionário que podem atrair os alvos.
Na última instância observada pelo Cyble, a URL falsa não apenas personifica o mercado oficial de aplicativos Android, mas também hospeda o aplicativo do Itaú Unibank repleto de malware, além de alegar que o aplicativo teve 1.895.897 downloads.
Os usuários que instalam e iniciam o aplicativo impostor a partir da suposta página da Google Play Store são posteriormente solicitados a habilitar os serviços de acessibilidade, bem como outras permissões intrusivas que permitem que o malware acesse notificações, recupere o conteúdo da janela e execute gestos de toque e deslize.
O objetivo do trojan, segundo os pesquisadores, é realizar transações financeiras fraudulentas no aplicativo legítimo do Itaú Unibanco, adulterando os campos de entrada do usuário, juntando-se a uma longa lista de malwares bancários que abusam da API de acessibilidade. O Google, por sua vez, começou a impor novas limitações para restringir o uso de tais permissões que permitem que os aplicativos capturem informações confidenciais de dispositivos Android.
Isso está longe de ser a primeira vez que a empresa de serviços financeiros com sede em São Paulo caiu sob o radar de grupos de ameaças com motivação financeira. No início de abril, a ESET revelou um novo cavalo de Troia bancário denominado Janeleiro que foi observado em usuários corporativos no Brasil pelo menos desde 2019 em vários setores, como engenharia, saúde, varejo, manufatura, finanças, transporte e governo.
“Os Threat Actors adaptam constantemente seus métodos para evitar a detecção e encontrar novas maneiras de atingir os usuários por meio de técnicas cada vez mais sofisticadas. Esses aplicativos maliciosos muitas vezes se disfarçam como aplicativos legítimos para induzir os usuários a instalá-los”, disseram os pesquisadores.
“Os usuários devem instalar aplicativos somente após verificar sua autenticidade e instalá-los exclusivamente da Google Play Store oficial e outros portais confiáveis para evitar tais ataques.”
