Por causa de sua grande base de usuários, O Facebook costuma ser o alvo de cibercriminosos que usam a plataforma para espalhar golpes e distribuir malware. A última campanha desse tipo, apelidado de Fakeapp, envolve uma nova cepa de malware Android que é o phishing para credenciais de login do Facebook.
Assim que essas credenciais forem obtidas, o malware pode coletar informações da conta, bem como resultados da funcionalidade de pesquisa do aplicativo móvel do Facebook.
O malware Fakeapp foi detectado recentemente pela Symantec pesquisadores que disse que o aplicativo está sendo espalhado por meio de aplicativos maliciosos voltados para usuários que falam inglês em lojas de aplicativos de terceiros.
Como funciona o malware Fakeapp Android?
Os aplicativos Android infectados com o malware ficam ocultos da tela inicial do dispositivo. Enquanto isso, um serviço é iniciado no segundo plano do sistema Android, que inicia uma interface de usuário de login falsificada do Facebook.
Isso é feito para que as credenciais de login da vítima para a plataforma social sejam coletadas. O Fakeapp é persistente neste comportamento, pois o login falsificado é exibido periodicamente para os usuários até que eles digitem suas credenciais para o Facebook.
Em poucas palavras, as atividades do malware são as seguintes:
- O malware verifica a existência de uma conta alvo do Facebook, enviando a International Mobile Equipment Identity (IMEI) ao comando e controle (C&C) servidor.
- Se nenhuma conta pode ser coletada, o malware verifica se o aplicativo está instalado no dispositivo.
- O malware então inicia uma interface de usuário de login do Facebook falsificada (UI) roubar credenciais de usuário.
- O malware exibe periodicamente esta IU de login até que as credenciais sejam coletadas com sucesso.
Além de colher as credenciais de login e enviá-las ao servidor dos hackers, o malware Fakeapp está usando imediatamente os detalhes de login no dispositivo comprometido. Este comportamento não é típico do cavalo de Tróia Android comum visto até agora.
De acordo com a Symantec, o malware mostra um certo nível de sofisticação, especialmente na funcionalidade que rastreia a página do Facebook.
“O rastreador pode usar a funcionalidade de pesquisa no Facebook e coletar os resultados. Além disso, para colher informações que são mostradas usando técnicas dinâmicas da web, o rastreador irá rolar a página e puxar o conteúdo por meio de chamadas Ajax,“Symantec explicou.
Como já mencionado, o comportamento do Fakeapp é exclusivo para malware Android, especialmente porque nenhuma atividade maliciosa é realizada para monetizar diretamente o malware. Esse fato talvez signifique que o malware é uma forma de spyware que está estabelecendo um banco de dados de contas comprometidas para ser usado em outras operações maliciosas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: