Novo trojan Android "Datzbro" usa eventos de viagem falsos no Facebook gerados por IA para atacar idosos

Pesquisadores alertaram sobre a descoberta de um trojan bancário Android inédito, nomeado Datzbro, que está sendo ativamente usado para realizar ataques de aquisição de dispositivos (DTO) e executar transações fraudulentas, com um foco específico em enganar a população idosa.

A campanha foi identificada em agosto de 2025 pela empresa holandesa de segurança móvel ThreatFabric, após relatos de usuários na Austrália. Os hackers estavam operando grupos no Facebook que promoviam "viagens ativas para idosos" e eventos sociais. Outros territórios visados por esses invasores incluem Singapura, Malásia, Canadá, África do Sul e Reino Unido, demonstrando uma estratégia de alcance internacional.

As campanhas exploram especificamente o interesse de idosos por atividades sociais e de grupo. Os grupos falsos no Facebook, que utilizam conteúdo gerado por inteligência artificial (IA) para dar credibilidade, alegam organizar diversas atividades para o público idoso.

Quando alvos em potencial expressam interesse, eles são prontamente contatados via Facebook Messenger ou WhatsApp. É neste ponto que a fraude se aprofunda: é solicitado que as vítimas baixem um arquivo APK (o formato de instalação do Android) a partir de um link fraudulento, como "download.seniorgroupapps[.]com".

"Os sites falsos instigam os visitantes a instalar um suposto aplicativo comunitário, alegando que ele permitiria que se registrassem em eventos, se conectassem com membros e acompanhassem atividades programadas", detalhou a ThreatFabric em um relatório. Curiosamente, os sites também apresentam links para download de um aplicativo iOS, sugerindo que os hackers visam ambos os sistemas operacionais, utilizando o serviço TestFlight para distribuir versões maliciosas para iPhones.

No Android, o download leva à implantação direta do Datzbro ou de um dropper construído com o serviço Zombinder, uma técnica que burla as restrições de segurança introduzidas no Android 13 e versões mais recentes.

O Datzbro, à semelhança de outros trojans bancários, possui um arsenal robusto de recursos maliciosos. Ele é capaz de gravar áudio, capturar fotos, acessar arquivos e fotos, e orquestrar fraudes financeiras por meio de ataques de sobreposição, keylogging e controle remoto. O malware faz uso indevido dos serviços de acessibilidade do Android para executar ações de forma remota, como se fosse a própria vítima.

Um de seus recursos mais notáveis é o modo de controle remoto esquemático. Este modo permite que o malware envie aos seus operadores informações detalhadas sobre cada elemento exibido na tela do dispositivo (posição, conteúdo), possibilitando que os hackers recriem o layout e efetivamente comentem o dispositivo à distância.

O trojan também pode exibir uma sobreposição preta semitransparente com texto personalizado para esconder sua atividade maliciosa enquanto rouba PINs de tela de bloqueio e senhas de aplicativos como Alipay e WeChat.

Além disso, ele possui um filtro sofisticado que verifica os logs de eventos de acessibilidade em busca de nomes de pacotes de bancos e carteiras de criptomoedas, bem como textos que contenham credenciais.

"Este filtro demonstra claramente o foco dos desenvolvedores por trás do Datzbro, transformando-o em uma ameaça financeira além de suas capacidades de Spyware", afirmou a ThreatFabric.

Acredita-se que o Datzbro seja obra de um grupo hacker de língua chinesa, dado que o código-fonte do malware contém strings de depuração e registro em chinês. Os aplicativos maliciosos se conectam a um backend de comando e controle (C2) que é um aplicativo de desktop em chinês, um detalhe incomum que o diferencia de famílias de malware que utilizam painéis C2 baseados na web.

A ThreatFabric notou ainda que uma versão compilada do aplicativo C2 pode ter vazado para um compartilhamento público de vírus, sugerindo que o malware pode estar sendo distribuído livremente entre hackers.

Esta divulgação ocorre em meio a outras grandes ameaças internacionais. O IBM X-Force, por exemplo, detalhou uma campanha do malware bancário AntiDot (codinome PhantomCall) que alveja usuários de grandes instituições financeiras em diversos países, como Espanha, Itália, França, EUA, Canadá, Emirados Árabes Unidos e Índia.

Atribuído a um hacker financeiro conhecido como LARVA-398 e operando como Malware como Serviço (MaaS), o AntiDot usa aplicativos falsos do Google Chrome para burlar as defesas do Android 13 e bloquear chamadas legítimas, isolando a vítima para que os invasores possam concluir transações fraudulentas.

Via - THN