Eset alerta: perigoso trojan bancário tem Brasil como alvo

Pesquisadores da Eset, empresa que atua em detecção proativa de ameaças, analisaram um aplicativo Android extremamente perigoso que pode executar uma série de ações terríveis. Em particular, a limpeza da conta bancária ou da carteira de criptomoedas da vítima, bem como o sequestro de seus e-mails ou contas de mídias sociais. Sob o nome DEFENSOR ID, esse trojan bancário estava disponível no Google Play no momento em que foi feita a análise.
Embora o aplicativo esteja equipado com funcionalidades para o roubo de informações, uma das coisas que torna esse trojan bancário excepcionalmente perigoso é que, após a instalação, ele requer uma única ação por parte da vítima – habilitar o Serviço de Acessibilidade da Android. Após este passo o app desbloqueia totalmente sua funcionalidade maliciosa.
O aplicativo DEFENSOR ID conseguiu acessar a loja do Google Play, fortemente protegida, graças a sua extrema cautela. Nesse sentido, seus criadores reduziram ao mínimo a superfície maliciosa do aplicativo ao eliminar todas as funcionalidades potencialmente perigosas, exceto uma: abusar do Serviço de Acessibilidade.

O Serviço de Acessibilidade é conhecido há muito tempo como o calcanhar de Aquiles do sistema operacional Android, e, embora as soluções de segurança possam detectar o uso combinado de serviços de acessibilidade, juntamente com outras permissões, funções suspeitas ou funcionalidade maliciosa, no caso do DEFENSOR ID, todas elas falharam ao disparar qualquer alarme diante da inexistência de funcionalidade adicional ou permissão.
Quando nos referimos a “todos”, englobamos os mecanismos de segurança que protegem a loja oficial de aplicativos Android (incluindo os mecanismos de detecção dos membros da App Defense Alliance) e todos os provedores de segurança que participam do programa VirusTotal.
O DEFENSOR ID foi lançado em 3 de fevereiro de 2020 e foi atualizado pela última vez para a versão 1.4 em 6 de maio de 2020. A Eset reportou a vulnerabilidade para o Google em 16 de maio deste ano e, desde 19 de maio, o aplicativo não está mais disponível no Google Play.
Ataque direcionado ao Brasil
Sob o nome do desenvolvedor estava “GAS Brazil”, o que sugere que os cibercriminosos por trás desse aplicativo estavam mirando usuários brasileiros. Além de incluir o nome do País, o nome do aplicativo provavelmente reflete a intenção de mostrar um relacionamento com a solução antifraude chamada “GAS Tecnologia”. Esse software de segurança é geralmente instalado em computadores no Brasil, pois vários bancos exigem seu uso ao efetuar login no serviço bancário on-line. No entanto, além da versão em português, há também uma versão em inglês do aplicativo DEFENSOR ID e esse aplicativo não possui restrições geográficas ou de idioma.

Aplicativo DEFENSOR ID no Google Play. Versão em português possui descrição afirmando que app está disponível para pessoas físicas e jurídicas para “mais proteção ao usar seus aplicativos”, com criptografia de ponta a ponta para os usuários
Além do relacionamento sugerido com a GAS Tecnologia, o aplicativo promete maior segurança para seus usuários. A descrição em português promete mais proteção para aplicativos do usuário, incluindo criptografia de ponta a ponta.
Como funciona
Após o lançamento, o DEFENSOR ID solicita as seguintes permissões:
• Modificar as configurações do sistema,
• Exibir em outros aplicativos,
• Ativar serviços de acessibilidade.
Se um usuário desavisado conceder essas permissões, o Trojan poderá ler qualquer texto exibido em qualquer aplicativo iniciado pelo usuário e enviá-lo aos invasores. Isso significa que os cibercriminosos podem roubar: credenciais da vítima para fazer login em aplicativos, SMS e mensagens de e-mail, chaves privadas de criptomoedas e até códigos de duplo fator de autenticação (2FA) gerados por software.
O fato de o Trojan poder roubar as credenciais da vítima e ter acesso às mensagens SMS geradas e aos códigos 2FA significa que os operadores do DEFENSOR ID podem evitar o duplo fator de autenticação. Isso permite que, por exemplo, assumam o controle total da conta bancária da vítima. Para garantir que o Trojan sobreviva à reinicialização do dispositivo, ele abusa dos serviços de acessibilidade já ativados que permitirão que a ameaça volte a ficar ativa mesmo após reiniciar o dispositivo.

Graças a esse vazamento de dados, foi possível confirmar que o malware realmente funcionava como projetado: o invasor tinha acesso às credenciais inseridas da vítima, e-mails e mensagens recebidas ou escritas, etc  

Dados roubados
Ao analisar a amostra, a Eset observou que os cibercriminosos responsáveis desse malware deixaram o banco de dados remoto com alguns dos dados das vítimas acessíveis, sem qualquer autenticação. O banco de dados continha as atividades mais recentes executadas em cerca de 60 dispositivos comprometidos.
Graças a esse vazamento de dados, foi possível confirmar que o malware realmente funcionava como projetado: o invasor tinha acesso às credenciais inseridas da vítima, e-mails e mensagens recebidas ou escritas etc.
Ao chegar a estes dados do banco de dados dos cibercriminosos, a Eset pode observar diretamente o comportamento malicioso do aplicativo, entender como funcionava para poder agregar conhecimento sobre segurança da informação à comunidade.
A Eset possui o portal #quenãoaconteca, com informações úteis para evitar que situações cotidianas afetem a privacidade online.
Serviço
www.eset.com/br
http://www.welivesecurity.com/br/