Uma nova linhagem de malware Trojan para smartphones Android tem como alvo usuários dos melhores aplicativos de criptoativos espalhados pelo mundo, como Coinbase, BitPay e Bitcoin Wallet, além de bancos como JPMorgan, Wells Fargo e Bank of America. A notícia foi divulgada pelo site de tecnologia The Next Web nesta quinta-feira, 28 de março.
Com base em pesquisas da proeminente empresa de análise de cibercrimes Group-IB, esta é a primeira vez que o Trojan – agora chamado de “Gustuff” – foi reportado ou analisado. O malware é descrito como sendo projetado para infecções em massa e é transmitido por mensagens SMS com links para carregar arquivos maliciosos do kit de pacotes do Android.
Conforme mostra o artigo da Cointelegraph, os criadores do malware criaram “Sistemas de Transferência Automática” que visam agilizar e dimensionar os roubos acionando os preenchimentos automáticos de campos de pagamento para aplicativos Android legítimos visando reencaminhar transferências maliciosas para os hackers.
O aplicativo tem a intenção de lançar uma série de “falsificações da Web” que imitam aplicativos legítimos para phishing de dados confidenciais de usuários – segmentando especificamente clientes de até 32 aplicativos diferentes relacionados às criptomoedas. As notificações por push usando ícones legítimos são um outro dispositivo que o malware usa para automatizar o download de aplicativos falsos e acionar os preenchimentos automáticos de transações.
O Grupo IB identificou 27 aplicativos falsos de criptomoedas e bancos nos Estados Unidos, 16 na Polônia, 10 na Austrália, nove na Alemanha e nove na Índia. O malware também tem como alvo sistemas de pagamento e serviços de mensagens, como PayPal, Revolut, Western Union, eBay, Walmart, Skype e WhatsApp.
Para funcionar, Gustaff explora os recursos de acessibilidade do Android projetados para usuários com deficiências, com o Grupo IB caracterizando isso como um truque relativamente raro e eficaz:
“Usar o mecanismo do Serviço de acessibilidade significa que o Trojan pode ignorar as alterações na política de segurança do Google introduzidas nas novas versões do sistema operacional Android. Além disso, o Gustuff sabe como desativar o Google Protect; de acordo com o desenvolvedor do Trojan, esse recurso funciona em 70% dos casos.”
Relatado inicialmente a fóruns de hackers desde abril de 2018, o Group IB observa que o Gustuff foi projetado por um criminoso cibernético de língua russa apelidado de “Bestoffer”, mas tem como alvo clientes de empresas internacionais principalmente fora da Rússia.
Usuários do Android são aconselhados pelo Grupo IB a baixarem aplicativos estritamente da loja Google Play e prestar atenção às extensões de arquivos baixados.
Leia também: América Latina registra 3,7 milhões de ataques de malwares por dia