Uma nova campanha maliciosa direcionada aos usuários do Android por meio de um aplicativo trojan foi detectada em estado selvagem. A carga útil da campanha é o trojan Vultur que coleta credenciais bancárias, entre outras atividades maliciosas.
O culpado, uma autenticação maliciosa de dois fatores (2FA) aplicativo, que esteve disponível para download por mais de duas semanas, foi baixado 10,000 vezes. O aplicativo era um autenticador 2FA totalmente funcional (com o mesmo nome) mas veio com um “bônus”. Se você baixou o aplicativo 2FA Authenticator, você deve removê-lo imediatamente porque você ainda está exposto, Pesquisadores do Pradeo avisou.
De acordo com o relatório do Pradeo:
O aplicativo chamado 2FA Authenticator é um conta-gotas aproveitado para espalhar malware nos dispositivos de seus usuários. Foi desenvolvido para parecer legítimo e fornecer um serviço real. Para fazê-lo, seus desenvolvedores usaram o código-fonte aberto do aplicativo oficial de autenticação Aegis no qual eles injetaram código malicioso. Como um resultado, o aplicativo é disfarçado com sucesso como uma ferramenta de autenticação que garante que ele mantenha um perfil baixo.
Contudo, o recurso mais notável do aplicativo trojan é poder solicitar permissões críticas que não divulga em seu perfil do Google Play. Graças a essas permissões, o aplicativo é capaz de realizar as seguintes atividades em um dispositivo Android comprometido:
- Colete e envie a lista de aplicativos e localização dos usuários para seus autores, para que eles possam aproveitar as informações para realizar ataques direcionados a indivíduos em países específicos que usam aplicativos móveis específicos, em vez de campanhas massivas de ataques não direcionados que arriscariam expô-los,
- Desative o bloqueio de teclas e qualquer segurança de senha associada,
- Baixe aplicativos de terceiros sob a forma de supostas atualizações,
- Realize atividades livremente mesmo quando o aplicativo está desligado,
- Sobreponha a interface de outros aplicativos móveis usando uma permissão crítica chamada SYSTEM_ALERT_WINDOW para a qual o Google especifica "Muito poucos aplicativos devem usar essa permissão; essas janelas são destinadas à interação no nível do sistema com o usuário.”
Outro trojan Android recentemente divulgado é o trojan BRATA. Atores de ameaças têm usado o trojan para “perpetrar fraudes por meio de transferências eletrônicas não autorizadas”. Alguns de seus recursos incluem a redefinição de fábrica do dispositivo, rastreamento por GPS, usando vários canais de comunicação (como HTTP e TCP), e poder monitorar continuamente o aplicativo do banco da vítima via VNC (Virtual Network Computing) e keylogger.