Nova geração de malwares para Android combina sobreposição de tela, virtualização e fraude via NFC para atacar usuários

Uma nova leva de malwares voltados para dispositivos Android está gerando preocupação na comunidade de cibersegurança mundial. Entre as ameaças identificadas, destaca-se o AntiDot, um malware operado por um grupo hacker conhecido como LARVA-398.

Comercializado como Malware como Serviço (MaaS) em fóruns clandestinos, o AntiDot foi responsável por comprometer mais de 3.775 dispositivos em 273 campanhas distintas, explorando recursos de acessibilidade do Android para capturar dados sensíveis e controlar remotamente os aparelhos infectados.

O AntiDot se disfarça como atualizações do Google Play, utilizando técnicas sofisticadas como ataques de sobreposição, gravação de tela e captura de SMS. Seu funcionamento é apoiado por um painel de controle remoto baseado em MeteorJS, com seis abas que permitem aos hackers gerenciar bots, configurar injeções de interface falsa, analisar os aplicativos das vítimas, e operar servidores C2 (comando e controle). O malware ainda se destaca por sua habilidade de monitorar notificações em tempo real e se definir como aplicativo de SMS padrão, o que amplia sua capacidade de interceptação.

Além disso, pesquisadores revelaram uma evolução do trojan bancário GodFather, agora equipado com um sistema de virtualização local. Essa técnica cria um ambiente isolado dentro do próprio dispositivo da vítima, permitindo que o malware execute cópias legítimas de apps bancários em uma sandbox, observando as interações em tempo real para realizar fraudes financeiras. Essa abordagem representa um novo patamar na sofisticação dos ataques, burlando inclusive proteções introduzidas no Android 13 contra abuso de serviços de acessibilidade.

Outro malware emergente, SuperCard X, está sendo usado em ataques na Rússia e Europa, com foco em fraudes envolvendo tecnologia NFC (Near Field Communication). A ameaça é uma modificação do app legítimo NFCGate, projetada para capturar dados de cartões bancários e retransmiti-los para dispositivos controlados pelos invasores, permitindo saques e pagamentos fraudulentos.

A complexidade dessas campanhas revela um ecossistema criminoso que evolui rapidamente, com foco em fraudes bancárias, roubo de dados pessoais e espionagem digital. O problema se agrava com a presença de aplicativos maliciosos como RapiPlata, detectado na Google Play Store e App Store, com mais de 150 mil downloads.

Disfarçado de app de empréstimos rápidos, o RapiPlata — classificado como spyware da família SpyLoan — obtinha acesso amplo a mensagens, chamadas, eventos do calendário e até mesmo seed-phrase de carteiras de criptomoedas, resultando em chantagens e extorsões.

Especialistas alertam que, além de remover os aplicativos das lojas, é fundamental que usuários evitem baixar APKs de fontes desconhecidas, especialmente quando pressionados por campanhas de smishing ou supostas ofertas financeiras.

A natureza furtiva e a escalabilidade dessas ameaças demonstram a urgência de soluções proativas, como mecanismos de detecção baseados em comportamento e políticas mais rígidas nas plataformas de distribuição de aplicativos.

Via - THN