Check Point descobre seis apps na Play Store que propagam malware bancário

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, descobriu seis aplicativos na Play Store do Google que disseminam malware bancário se passando por soluções antivírus. Conhecido como Sharkbot, este malware rouba credenciais e informações bancárias dos usuários de Android. Este é um malware que atrai suas vítimas para que insiram suas credenciais em janelas que imitam os formulários de entrada de credenciais. Quando o usuário insere seus dados, as informações comprometidas são enviadas para um servidor malicioso. Além disso, os pesquisadores descobriram que os autores desse malware implementaram um recurso de geofencing, que impede a execução de malware se os usuários do dispositivo estiverem na China, Índia, Romênia, Rússia, Ucrânia ou Bielorrússia.

Os seis aplicativos maliciosos são:

. Atom Clean-Booster, Antivirus
. Antivirus, Super Cleaner
. Alpha Antivirus, Cleaner
. Powerful Cleaner, Antivirus
. Center Security – Antivirus
. Center Security – Antivirus

Quatro dos aplicativos vieram de três contas de desenvolvedores, Zbynek Adamcik, Adelmio Pagnotto e Bingo Like Inc. Quando a CPR verificou o histórico dessas contas, os pesquisadores descobriram que duas delas estavam ativas em meados de setembro de 2021. Alguns dos aplicativos vinculados a elas foram removidos do Google Play, porém ainda existem em mercados não oficiais. Isso pode significar que o cibercriminoso por trás disso está tentando passar despercebido enquanto ainda se envolve em atividades maliciosas.

Os pesquisadores da CPR coletaram estatísticas por uma semana. Durante esse período, a CPR contou com mais de 1 mil IPs de vítimas, principalmente do Reino Unido e da Itália. A cada dia, o número de vítimas aumentava em cerca de 100 pessoas. De acordo com as estatísticas do Google Play, os seis aplicativos maliciosos detectados pela CPR foram baixados mais de 11 mil vezes. A maioria das vítimas está no Reino Unido e na Itália.

Metodologia do ataque

1. Incluir o usuário para conceder permissões de serviço de acessibilidade ao aplicativo.
2. Depois disso, o malware ganha o controle de grande parte do dispositivo da vítima.
3. Os cibercriminosos também podem enviar notificações push às vítimas com links maliciosos.

Não há evidências suficientes para fazer uma atribuição, embora se possa deduzir que os autores do malware falam russo.

Imediatamente após identificar esses aplicativos que propagam o Sharkbot, a CPR relatou essas descobertas ao Google. Depois de examinar os aplicativos, o Google procedeu à remoção permanente desses aplicativos na sua Play Store. No mesmo dia em que a CPR fez o relato ao Google, o grupo NCC publicou uma pesquisa separada sobre o Sharkbot, mencionando um dos aplicativos maliciosos.

“Descobrimos seis aplicativos na Play Store do Google que estavam espalhando o malware Sharkbot. Este malware rouba credenciais e informações bancárias e, obviamente, é muito perigoso. Ao observar a contagem de instalações, nós supomos que o atacante acertou em cheio por seu método de disseminação de malware, escolhendo estrategicamente um local de aplicativos no Google Play que tivesse a confiança dos usuários. O que também é digno de nota aqui é que os atacantes enviam mensagens às vítimas contendo links maliciosos, o que leva à adoção generalizada. Em suma, o uso de mensagens ou notificações push pelos cibercriminosos, solicitando uma resposta dos usuários, é uma técnica de disseminação incomum. Acho importante que todos os usuários do Android saibam que devem pensar duas vezes antes de baixar qualquer solução antivírus da Play Store, pois pode ser o Sharkbot”, alerta Alexander Chailytko, gerente de Segurança Cibernética, Pesquisa e Inovação da Check Point Software.

Serviço
www.checkpoint.com