Notícias de dispositivos móveis, gadgets, aplicativos Android

Malware detectado no Google Play Store Rouba credenciais banc√°rias e Intercepta mensagens SMS

O Zscaler ThreatLabz equipe encontrou o ‘Xenomorfo’ trojan banc√°rio incorporado em um Aplicativo de estilo de vida na loja Google Play.

O nome do aplicativo √© ‚ÄúTodo: Day Manager‚ÄĚ e tem mais de 1.000 downloads.

O trojan chamado ‘Xenomorfo’ rouba informa√ß√Ķes de login dos aplicativos banc√°rios dos dispositivos dos usu√°rios.

Al√©m disso, possui a capacidade de interceptar mensagens SMS e notifica√ß√Ķes dos usu√°rios, possibilitando acesso a senhas de uso √ļnico e solicita√ß√Ķes de autentica√ß√£o multifator.

‚ÄúNossa an√°lise descobriu que o malware banc√°rio Xenomorph foi retirado do GitHub como um aplicativo falso de servi√ßo do Google ap√≥s a instala√ß√£o do aplicativo‚ÄĚ, a equipe Zscaler ThreatLabz

‚ÄúTudo come√ßa pedindo aos usu√°rios que ativar permiss√£o de acesso. Uma vez fornecido, ele se adiciona como administrador do dispositivo e evita que os usu√°rios desativem o Admin do dispositivo, tornando-o desinstal√°vel do telefone‚ÄĚ.

Ciclo de infecção de xenomorfos

O aplicativo obt√©m o URL da carga √ļtil do malware banc√°rio quando √© iniciado pela primeira vez, conectando-se a um servidor Firebase.

As amostras maliciosas do malware banc√°rio Xenomorph s√£o baixadas do Github.

Mais tarde, para buscar mais comandos e espalhar a infec√ß√£o, esse malware financeiro entra em contato com o comando e controle (C2) servidores usando conte√ļdo de p√°gina do Telegram ou uma rotina de c√≥digo est√°tico.

Pesquisadores dizem o malware s√≥ baixar√° outras cargas banc√°rias se o par√Ęmetro ‚ÄúAtivado‚ÄĚ estiver definido como verdadeiro. Al√©m disso, a carga banc√°ria possui o link da p√°gina do Telegram codificado com criptografia RC4.

Ap√≥s a execu√ß√£o, a carga √ļtil banc√°ria chegar√° ao P√°gina do telegrama e baixe o conte√ļdo hospedado nessa p√°gina.

Foi notado que os dom√≠nios C2 s√£o codificados em RC4 e armazenados dentro do c√≥digo. A carga √ļtil notifica C2 sobre cada aplicativo carregado para que ele possa obter mais instru√ß√Ķes.

N√≥s recomendamos:  O que √© s√≠ntese de fala?

Em um caso, se um aplicativo legítimo for instalado no dispositivo infectado, ele exibirá a página de login falsa de um aplicativo bancário visado.

Outro programa chamado ‚ÄúGuardi√£o de Despesas‚ÄĚTamb√©m foi visto pelo ThreatLabz agindo de maneira semelhante. Quando esta aplica√ß√£o √© executada, verifica-se que o ‚Äúpar√Ęmetro habilitado‚ÄĚ est√° definido como falso.

Não foi possível recuperar o URL do Dropper para a carga bancária. Para o mesmo, ThreatLabz colabora com a equipe de segurança do Google.

Palavra final

Esses instaladores de phishing banc√°rio frequentemente dependem de enganar os usu√°rios para que instalando programas prejudiciais.

Os usu√°rios s√£o incentivados a prestar aten√ß√£o aos aplicativos instalados. A Aplicativo Play Store n√£o deve incentivar os usu√°rios a instal√°-lo de fontes n√£o confi√°veis ‚Äč‚Äčou carreg√°-lo paralelamente. Finalmente, a conscientiza√ß√£o do usu√°rio √© crucial para impedir diversas t√°ticas de phishing.

Prote√ß√£o gerenciada contra ataques DDoS para aplicativos ‚Äď Baixe o guia gr√°tis