Hackers clonam aplicativos de banco na Índia e roubam informações de usuários android.

Os usuários de smartphones Android na Índia são alvo de uma nova campanha de malware que utiliza engenharia social para instalar aplicativos maliciosos capazes de coletar dados confidenciais.

“Usando plataformas de mídia social como WhatsApp e Telegram, os criminosos estão enviando mensagens destinadas a induzir os usuários a instalar um aplicativo malicioso em seus smatphones, fazendo-se passar pelos bancos, órgãos governamentais e serviços públicos”, disse Abhishek Pustakala, pesquisador de threat intell da Microsoft.

"O objetivo final da operação é capturar dados bancários, informações de cartões de pagamento, credenciais de contas e outros dados pessoais." disseram os pesquisadores Harshita Tripathi e Shivang Desai

Os ataques envolvem o compartilhamento de arquivos APK maliciosos por meio de mensagens via WhatsApp e Telegram, apresentando-os falsamente como aplicativos bancários e induzindo um senso de urgência ao afirmar que suas contas bancárias serão bloqueadas a menos que atualizem seus dados cadastrais, incluindo informações do seguro social.

Após a instalação, o aplicativo solicita que a vítima insira as informações de sua conta bancária, senha do cartão de débito, números do seguro social e credenciais bancárias, essas informações são posteriormente transmitidas para um servidor controlado pelos criminosos.

“Depois que todos os detalhes solicitados são enviados, aparece uma nota suspeita informando que os detalhes estão sendo verificados para atualizar o KYC”, disseram os pesquisadores.

“O usuário é instruído a aguardar 30 minutos e não excluir ou desinstalar o aplicativo. Além disso, o aplicativo tem a funcionalidade de ocultar seu ícone, fazendo com que ele desapareça da tela inicial do dispositivo do usuário enquanto continua em execução em segundo plano.”

Outro aspecto notável do malware é que ele solicita ao usuário permissão para ler e enviar mensagens SMS, permitindo assim interceptar senhas de uso único (OTPs) e enviar mensagens das vítimas para o número de telefone dos hackers via SMS.

Variantes do trojan bancário descoberto pela Microsoft também roubam detalhes de cartão de crédito com informações de identificação pessoal (PII) e mensagens SMS recebidas, expondo usuários desavisados a fraudes financeiras.

No entanto, vale ressaltar que para que esses ataques sejam bem-sucedidos, os usuários terão que ativar a opção de instalação de aplicativos de fontes desconhecidas fora da Google Play Store.

“As infecções por trojans bancários podem representar riscos significativos para as informações pessoais, privacidade, integridade do dispositivo e segurança financeira dos usuários”, disseram os pesquisadores. “Essas ameaças muitas vezes podem se disfarçar como aplicativos legítimos e implantar táticas de engenharia social para atingir seus objetivos e roubar dados confidenciais e ativos financeiros dos usuários”.

Isso tudo ocorre no momento em que o ecossistema Android também está sob ataque do trojan SpyNote , que tem como alvo os usuários do Roblox sob o disfarce de um mod para desviar informações confidenciais.

Em outro caso, sites adultos falsos são usados para induzir os usuários a baixar um malware Android chamado Enchant, que tem por objetivo furto de dados de carteiras de criptomoedas.

“O malware Enchant usa o recurso de serviço de acessibilidade para atingir carteiras de criptomoedas específicas, incluindo imToken, OKX, Bitpie Wallet e carteira TokenPocket”, disse Cyble em um relatório recente.

“Seu objetivo principal é roubar informações críticas, como endereços de carteiras, frases mnemônicas, detalhes de ativos de carteiras, senhas de carteiras e chaves privadas de dispositivos comprometidos”.

No mês passado, Doctor Web descobriu vários aplicativos maliciosos na Google Play Store que exibiam anúncios intrusivos ( HiddenAds ), cadastravam usuários em serviços premium sem seu conhecimento ou consentimento ( Joker ) e promoviam golpes de investimento disfarçados de software comercial (FakeApp).

O ataque de malware Android levou o Google a anunciar novos recursos de segurança, como verificação ao nível de código em tempo real para aplicativos que não foram verificados anteriormente. Ele também lançou configurações restritas com Android 13 que proíbem os aplicativos de obter acesso a configurações críticas do dispositivo (por exemplo, acessibilidade), a menos que sejam explicitamente habilitadas pelo usuário.

Não é apenas o Google. A Samsung, no final de outubro de 2023, revelou uma nova opção de bloqueio automático para dispositivo Galaxy que impede instalações de aplicativos de outras fontes além da Google Play Store e Galaxy Store e bloqueia comandos prejudiciais e instalações de software por meio da porta USB.

Para evitar o download de software malicioso do Google Play e de outras fontes confiáveis, os usuários são aconselhados a verificar a legitimidade dos desenvolvedores de aplicativos, examinar minuciosamente as avaliações e examinar as permissões solicitadas pelos aplicativos.

Após a publicação da história, um porta-voz do Google compartilhou a seguinte declaração com o The Hacker News –

Os usuários são protegidos pelo Google Play Protect, ativado por padrão e avisa os usuários ou bloqueia aplicativos conhecidos por apresentarem comportamento malicioso em dispositivos Android com o Google Play Services, mesmo quando esses aplicativos vêm de fontes fora do Play. O Google implementou proteções para TrojanSpy:AndroidOS/SpyBanker.Y em dezembro de 2022 e para Trojan:AndroidOS/Banker.U em setembro de 2023.

Via - THN