Nossas
Publicações

BankBot trojan no Google Play

pirata3

O InterContinental Hotel Group afirmou ter encontrado malwares projetados para roubar detalhes do cartão de pagamento em cerca de 1200 de seus hotéis de franquias nos EUA. Essa é uma péssima notícias, mas a novidade que me deixou assustado hoje foi outra: Cyber criminosos encontraram uma maneira de burlar a segurança do Google e instalaram APP no Google Play infectados com o trojan BankBot.

Como o trojan funciona?

BankBot funciona mostrando uma janela de login falsa em cima do aplicativo bancário legítimo, instalado no dispositivo de um usuário. Em suma, BankBot pode ser usado para roubar credenciais de login para aplicativos bancários. Também pode ser usado para roubar detalhes de login para outros aplicativos, incluindo Facebook, YouTube, WhatsApp, Snapchat, Instagram, Twitter e até mesmo a Google Play Store.

A empresa de segurança holandesa Securify postou uma lista de 424 aplicativos bancários legítimos para os quais as versões do BankBot detectadas recentemente foram codificadas para segmentar. A lista inclui aplicações para bancos como Santander, ING, Erste, Volksbank, ING, Eurobank, ABN AMRO, Garanti, HSBC, BNP Paribas e assim por diante. A lista completa pode ser verificada em  Pastebin.

BankBot Android Trojan foi descoberto pela primeira vez em janeiro de 2017 (veja relato de Doug Olenick em BankBot created with leaked banking trojan source code), logo após um exemplo de código-fonte do Android Trojan bancário foi publicado em fóruns na “dark web”. Esses códigos-fonte captam rapidamente a atenção dos criminosos, pois  podem ser rapidamente editadas e transformadas em um vírus personalizado. Pouco depois da publicação do código fonte, criminosos criaram o BankBot Trojan, que conseguiu enganar o scanner de segurança do Google e entrar no Google Play Store. Em abril, os pesquisadores já sabiam sobre três campanhas associadas a este vírus e, consequentemente, as aplicações mal-intencionadas foram retiradas da loja

No entanto, cyber criminosos não pararam neste momento e substituíram essas aplicações por novas. A Securify detectou duas novas campanhas BankBot que conseguiram escapar das verificações de segurança da Google Play Store. Um dos aplicativos mal-intencionados que continham o Trojan bancário era chamado de HappyTime Videos 2017, e já foi retirado. Como explica Niels Croese da Securify: “Aparentemente, o aplicativo foi atualizado recentemente (8 de abril de 2017) e provavelmente foi quando o malware foi adicionado. Comuniquei o aplicativo por meio de seu sistema de relatórios, mas no momento em que escrevo ele ainda está disponível no Google Play. Como você pode ver, parece ter instalações de 1k a 5k, o que não é muito para um aplicativo normal, mas muito para malware (pelo menos em comparação com as contagens de instalação que vimos até agora em outros malwares de banca móvel).”  Veja o post em: Banking malware in Google Play targeting many new apps.

A nova versão do Trojan também é capaz de bloquear o dispositivo da mesma forma que o ransomware faz, ou controlar e escanear as mensagens de entrada para ler com êxito os códigos de verificação enviados pelo banco (para ignorar a verificação em duas etapas procedimento). Ele pode basicamente roubar login e senhas usadas para qualquer aplicativo no telefone, incluindo Facebook, Instagram, Twitter, Snapchat e outros.

Ransomware é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente usando criptografia, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário.

Claramente os criadores de malware encontraram uma maneira de enganar o serviço de segurança do Google e agora os engenheiros da empresa estão tentando encontrar uma maneira de resolver este programa e detectar aplicações que contêm este cavalo de Tróia de forma mais eficiente.

Até agora, parece que os usuários do Android não tem muita sorte quando se trata de segurança – há muitos casos a mencionar a respeito de malware na Play Store oficial. A loja já estava comprometida por adware, trojans, como HummingWhaleSvpeng ou mesmo ransomware. Veja o post do Oren Koriat sob o título A Whale of a Tale: HummingBad Returns, no blog Check Point.

Se quiser evitar a instalação de malware é necessário aprender a identificar aplicativos críticos e não deixar falsos comentários e classificações nos enganar em instalá-los!