Um novo Checa Trojan Android foi detectado que foi encontrado para representar o aplicativo QRecorder. Uma declaração dos shows policiais que o hacker ou grupo por trás dele já roubados mais 78 000 Euro das contas das vítimas.
O aplicativo Fake QRecorder é um Trojan checo para Android
Esta semana, a Polícia Tcheca relatou que um novo cavalo de Tróia Android perigoso foi descoberto como particularmente ativo. Sabe-se que cinco vítimas da República Tcheca foram afetadas até agora. As amostras atuais são espalhadas em vários repositórios como uma cópia falsa do aplicativo QRecorder. As instalações bem-sucedidas apenas do repositório do Google Play são mais de 10 000 instâncias. O próprio aplicativo de falsificação de identidade é uma solução de gravação de chamadas, sua descrição e capturas de tela anexadas mostram uma entrada típica sem elementos suspeitos.
Como outras ameaças populares do Android após a instalação e primeira execução, ele solicitará permissões para se sobrepor a outros aplicativos. Quando eles forem concedidos, o cavalo de Troia tcheco Android será capaz de controlar o que é exibido para o usuário. Isso acionará seus padrões de comportamento integrados, uma das primeiras ações feitas é relatar a infecção aos controladores criminais. A análise revela que dentro 24 horas os dispositivos infectados receberão instruções. Quando nenhuma instrução é fornecida, o cavalo de Troia Android não inicia nenhuma ação.
Descobriu-se que os invasores usam mensagens do Firebase para se comunicar com os dispositivos infectados por cavalos de Tróia. O aplicativo QRecorder do malware escravo verificará a presença de aplicativos bancários predefinidos. Se nenhum for encontrado, serão encontrados links para cargas criptografadas. O cliente escravo irá baixá-los e descriptografar o conteúdo. Antes que esta etapa seja iniciada, o usuário solicitará permissões adicionais - para ativar o serviço de acessibilidade. Através dele a infecção será realizada.
Quando o código de carga útil é executado, ele monitora o download e o lançamento de certos aplicativos bancários. Uma sobreposição de esquema será criada para coletar automaticamente todas as credenciais inseridas pelos usuários vítimas.
As strings de texto encontradas no código-fonte do cavalo de Tróia revelam que os principais alvos parecem ser poloneses, Bancos checos e alemães. Até agora, foram encontrados dois pacotes contendo o cavalo de Troia Android:
- com.apps.callvoicerecorder
- gjfid.pziovmiq.eefff
A declaração oficial pode ser acessado aqui.