Os especialistas em segurança cibernética da ESET identificaram um novo aplicativo de fraude na loja Google Play no sistema Android. De acordo com uma análise feita pela empresa, o malware teve como alvo os brasileiros e teve “ações horríveis”, chegando até à possível limpeza da conta bancária das vítimas.
O aplicativo é chamado Defender ID e tem como objetivo proteger os telefones celulares. Foi lançado em 3 de fevereiro de 2020 e foi atualizado pela última vez em 6 de maio. Ele não está disponível na App Store desde 19 de maio, depois que a ESET alertou o Google.
A ação do malware foi enorme. Por exemplo, ele poderia limpar a conta bancária da vítima ou a cédula de criptomoeda. Além disso, poderia seqüestrar contas de e-mail e mídias sociais.
Como o aplicativo funcionou
O aplicativo se infiltrou na loja com cautela, o que permitiu reduzir sua área maliciosa, ocultando seus recursos maliciosos e removendo todos os recursos perigosos possíveis, exceto um: abuso do serviço de acessibilidade.
Embora equipada com recursos de roubo de informações, a ESET, de acordo com a ESET, tornou o trojan bancário muito perigoso, exigindo apenas uma ação após a instalação: disponibilizar telefones celulares. Somente após a conclusão desta etapa, os recursos maliciosos são totalmente desbloqueados.
Embora as soluções de segurança da Google Store possam detectar um uso combinado de serviços de acessibilidade, juntamente com outras permissões, recursos suspeitos ou mal-intencionados, no caso do Defensor ID, nem todos puderam emitir alarmes porque não havia funcionalidade ou outras permissões adicionais.
O nome do desenvolvedor do aplicativo era “GAS Brazil”, sugerindo que o ataque foi direcionado a brasileiros. O nome do aplicativo reflete isso ao descrever o relacionamento com a solução de segurança “GAS Tecnologia”, geralmente instalada em computadores no Brasil devido a requisitos de internet banking.
Depois de baixar o ID do Defensor, ele solicitou as seguintes permissões:
- Altere as configurações do sistema,
- Mostrar em outros aplicativos,
- Ativar serviços de acessibilidade.
Se aprovado, o malware pode ler qualquer texto exibido em qualquer aplicativo iniciado pelo usuário e enviá-lo aos invasores. Isso significa a possibilidade de roubar as credenciais da vítima para efetuar login, visualizar emails, ao obter chaves de criptomoeda e até códigos de autenticação de dois fatores.
O roubo de credenciais e o acesso a mensagens e códigos de autenticação permitiriam que o aplicativo ignorasse a proteção usual que as pessoas cuidadosas aplicam aos smartphones e serviços. Isso poderia, por exemplo, dar aos hackers controle total sobre a conta bancária da vítima.
A ESET também observou que os cibercriminosos deixaram um banco de dados remoto com alguns dados das vítimas, sem autenticação. Esse banco de dados continha atividades recentes realizadas em cerca de 60 dispositivos comprometidos.