A empresa de segurança da informação identificou o BankBot, uma ameaça perigosa de Android que tenta se passar pelo jogo Jewels Star Classic
A ESET, líder em detecção proativa de ameaças, alerta sobre um perigoso trojan bancário para o Android, identificado no início deste ano, e que encontrou uma maneira de se infiltrar novamente no Google Play.
O BankBot conseguiu entrar na loja oficial do Google Play tentando se passar pelo jogo Jewels Star Classic. Os atacantes usaram o nome da saga popular Jewels Star, desenvolvida pela ITREEGAMER, sem que a empresa esteja relacionada a esta campanha maliciosa. Quando a ESET notificou a equipe de segurança do Google sobre o aplicativo malicioso, 5 mil usuários já o tinham instalado em seus computadores.
App malicioso descoberto no google play
Ao baixar esta versão do Jewels Star Classic, o que se obtém é um jogo Android que funciona, mas que possui algumas características maliciosas, por exemplo, um malware bancário entre seus recursos, e um serviço malicioso que é executado após uma janela de tempo pré-configurada.
O serviço é ativado 20 minutos após a primeira execução do jogo. O dispositivo infectado exibe um alerta incitando o usuário a habilitar algo chamado “Serviço Google”. Esse alerta aparece independentemente da atividade que o usuário estiver realizando, sem conexão aparente com o jogo.
Legenda aviso que solicita ao usuário habilitar o Serviço do Google
Ao clicar em OK, o usuário permite ao trojan executar qualquer ação que ele precise para continuar sua atividade maliciosa. Uma vez que as permissões são aceitas, o usuário tem o acesso negado a sua tela, devido a uma suposta “atualização” do Google Service.
Enquanto o usuário espera que a atualização termine, o malware autoriza a instalação de aplicativos de fontes desconhecidas, instala o BankBot a partir de seus recursos e o executa, ativa o Gerenciador de Dispositivos para o BankBot, define BankBot como o aplicativo SMS padrão e obtém permissão para substituir outros apps.
Uma vez que essas tarefas são executadas, o malware tenta roubar dados do cartão de crédito da vítima. Quando o usuário executa o aplicativo do Google Play, o BankBot entra em ação e sobrepõe o app legítimo com uma forma falsa, que solicita os detalhes do cartão de crédito do usuário.
Legenda: formulario falso solicitando dados do cartão de crédito da vítima
Nesta etapa, o usuário pode cair na armadilha, inserir seus dados e ser enganado. O BankBot também se estabelece como o aplicativo de mensagens padrão, portanto, pode interceptar todas as mensagens SMS que passam pelo dispositivo infectado. Isso permite que os criminosos possam burlar a dupla autenticação baseada em SMS para o acesso à conta bancária da vítima, o que seria potencialmente o último obstáculo para concretizar o ato criminoso.
“As técnicas combinadas tornam muito difícil para a vítima reconhecer a ameaça em tempo. Inserir um serviço que afirma ser do Google e aguardar 20 minutos antes de mostrar a primeira advertência faz com que a vítima tenha poucas chances de relacionar a atividade do trojan com a instalação do Jewel Star Classic que baixou há pouco”, explica Camilo Gutierrez, chefe do laboratório de pesquisa da ESET América Latina. “Para detectar e eliminar a ameaça com todos os seus componentes, recomendamos o uso de uma solução de segurança móvel”, conclui.
Para verificar se um dispositivo está infectado, a ESET recomenda prestar atenção nos seguintes indicadores:
• Presença de um aplicativo chamado “Google Update”
• Um gerenciador de dispositivo ativo chamado “Atualização do sistema”
• Aparecer repetidas vezes na tela o alerta “Google Service”
Se algum desses indicadores for detectado, é provável que o dispositivo tenha sido infectado com esta variação do BankBot. Para limpar manualmente um dispositivo, primeiro é preciso desativar os direitos de administrador na “Atualização do sistema”, então, desinstalar o “Google Update” e o aplicativo trojan relacionado, neste caso o Jewel Star Classic.
Além de usar uma solução de segurança confiável, a ESET recomenda levar em conta outros aspectos para evitar ser vítima de malwares em celulares:
• Quando possível, dê prioridade às lojas de aplicativos oficiais e não à alternativas. O Google Play emprega mecanismos de segurança avançados, o que nem sempre é o caso em outras lojas.
• Antes de fazer o download de um aplicativo, é importante verificar sua popularidade, observando o número de instalações, classificações e comentários de usuários anteriores.
• Depois de executar qualquer coisa que tenha sido instalada em um dispositivo móvel, deve-se prestar atenção às permissões e direitos que ele solicita. Se um aplicativo requer permissões intrusivas, especialmente relacionadas à acessibilidade, é preciso ler cuidadosamente e permitir somente aquelas que se tem certeza de estarem conectadas a um aplicativo confiável.
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a usar tecnologia com segurança. Seu portfólio de soluções oferece às empresas e aos consumidores em todo o mundo um equilíbrio perfeito de desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e tem escritórios em Bratislava, São Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite http://www.eset.com.br/ ou nos siga no LinkedIn, Facebook e Twitter.
Desde 2004, a ESET opera na América Latina, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.
Utilizamos cookies para melhorar a sua experiência no nosso site. Ao utilizar o nosso site, você concorda com os cookies.
Este site usa cookies
Os sites armazenam cookies para melhorar a funcionalidade e personalizar sua experiência. Você pode gerenciar suas preferências, mas bloquear alguns cookies pode afetar o desempenho e os serviços do site.
Essential cookies enable basic functions and are necessary for the proper function of the website.
Name
Description
Duration
Preferências de cookies
Este cookie é utilizado para armazenar as preferências de consentimento de cookies do usuário.
30 dias
Preferências de cookies
Este cookie é utilizado para armazenar as preferências de consentimento de cookies do usuário.
30 dias
Google Tag Manager simplifies the management of marketing tags on your website without code changes.
Contains information about the traffic source or campaign that directed user to the website. The cookie is set when the GA.js javascript is loaded and updated when data is sent to the Google Anaytics server
6 months after last activity
__utmv
Contains custom information set by the web developer via the _setCustomVar method in Google Analytics. This cookie is updated every time new data is sent to the Google Analytics server.
2 years after last activity
__utmx
Used to determine whether a user is included in an A / B or Multivariate test.
18 months
_ga
ID used to identify users
2 years
_gali
Used by Google Analytics to determine which links on a page are being clicked
30 seconds
_ga_
ID used to identify users
2 years
_gid
ID used to identify users for 24 hours after last activity
24 hours
_gat
Used to monitor number of Google Analytics server requests when using Google Tag Manager
1 minute
_gac_
Contains information related to marketing campaigns of the user. These are shared with Google AdWords / Google Ads when the Google Ads and Google Analytics accounts are linked together.
90 days
__utma
ID used to identify users and sessions
2 years after last activity
__utmt
Used to monitor number of Google Analytics server requests
10 minutes
__utmb
Used to distinguish new sessions and visits. This cookie is set when the GA.js javascript library is loaded and there is no existing __utmb cookie. The cookie is updated every time data is sent to the Google Analytics server.
30 minutes after last activity
__utmc
Used only with old Urchin versions of Google Analytics and not with GA.js. Was used to distinguish between new sessions and visits at the end of a session.
End of session (browser)
Marketing cookies are used to follow visitors to websites. The intention is to show ads that are relevant and engaging to the individual user.
