Topo

Novo vírus no Android mira brasileiros e pode limpar contas bancárias

App malicioso no Android tinha funções extremamente perigosas - Getty Images/iStockphoto
App malicioso no Android tinha funções extremamente perigosas Imagem: Getty Images/iStockphoto

Gabriel Francisco Ribeiro

De Tilt, em São Paulo

23/05/2020 15h33

Sem tempo, irmão

  • App malicioso presente na Google Play tinha funções perigosas, segundo ESET
  • Malware poderia dar acesso a contas bancárias de vítimas e expor login em apps
  • Trojan bancário estava presente na loja como simulação de app de segurança
  • Ele conseguiu esconder recursos perigosos para permanecer por meses na loja

Um novo aplicativo voltado a golpes foi identificado na loja Google Play, do sistema Android, por especialistas da empresa de cibersegurança ESET. Segundo a análise feita pela companha, o malware mirava brasileiros e tinha "ações terríveis", chegando até a uma possível limpeza da conta bancária de vítimas.

O aplicativo em questão tem o nome de Defensor ID e supostamente visava a proteção dos celulares. Ele foi lançado em 3 de fevereiro de 2020, sendo atualizado pela última vez no dia 6 de maio. Ele não está mais disponível na loja de aplicativos desde o dia 19 de maio, após a ESET alertar o Google.

A ação do malware era vasta. Ele poderia, por exemplo, limpar a conta bancária de vítimas a depender de soluções de segurança adotadas por bancos ou uma carteira de criptomoedas. Além disso, poderia sequestrar contas de emails e redes sociais.

Como o app agia

O app se infiltrou na loja sob uma cautela que permitiu reduzir a superfície maliciosa dele, escondendo suas funções maliciosas e removendo todas as possíveis funcionalidades perigosas com exceção de uma: abusar do serviço de acessibilidade.

Apesar de ser equipado com recursos para roubo de informações, o que tornava o trojan bancário muito perigoso, segundo a ESET, era que, após a instalação, ele requeria uma única ação por parte da vítima: habilitar o serviço de acessibilidade do celular. Só após concluído este passo as funcionalidades maliciosas eram totalmente desbloqueadas.

Embora as soluções de segurança da loja do Google possam detectar o uso combinado de serviços de acessibilidade juntamente a outras permissões, funções suspeitas ou funcionalidades maliciosas, no caso do Defensor ID todas falharam em disparar alarmes, já que não havia funcionalidade adicional ou outras permissões.

O nome do desenvolvedor do app era "GAS Brazil", o que sugere que o ataque visava brasileiros. O próprio nome do aplicativo reflete isso ao mostrar o relacionamento com a solução de segurança "GAS Tecnologia", geralmente instalada em computadores do Brasil por exigência de bancos online.

Após o download, o Defensor ID solicitava as seguintes permissões:

  • Modificar as configurações do sistema,
  • Exibir em outros aplicativos,
  • Ativar serviços de acessibilidade.

Se concedidas as permissões, o malware poderia ler qualquer texto exibido em qualquer aplicativo iniciado pelo usuário e enviá-lo para os invasores. Isso significa a possibilidade de roubo de credenciais da vítima para feitura de logins, ver mensagens de email, além de obter chaves de criptomoedas e até códigos de autenticação em dois fatores.

O roubo de credenciais e o acesso às mensagens e aos códigos de autenticação permitiriam que o app burlasse as proteções usuais que pessoas cuidadosas aplicam nos smartphones e serviços. Isso poderia permitir, por exemplo, que hackers tivessem controle total de conta bancárias da vítima.

A ESET ainda notou que os cibercriminosos deixaram o banco de dados remoto com alguns dos dados das vítimas acessíveis, sem qualquer autenticação. Esse banco de dados continha atividades mais recentes executadas em cerca de 60 dispositivos comprometidos.