Malware que rouba credenciais bancárias e intercepta mensagens SMS é encontrado na Play Store. Saiba identificar e proteger.
A equipe do Zscaler ThreatLabz encontrou o trojan bancário chamado Xenomorph incorporado em um aplicativo Lifestyle na Google Play Store. O malware foi encontrado no aplicativo Todo: Day manager, que conta com mais de 1.000 downloads na loja do Google.
Malware Xenomorph encontrado na Play Store
O malware Xenomorph rouba informações de login dos aplicativos bancários dos dispositivos dos usuários. Além disso, tem a capacidade de interceptar mensagens e notificações SMS dos usuários, permitindo acesso a senhas de uso único e solicitações de autenticação multifator.
De acordo com a equipe do Zscaler ThreatLabz, “Nossa análise descobriu que o malware bancário Xenomorph é descartado do GitHub como um aplicativo falso do Google Service após a instalação do aplicativo”.
Ainda de acordo com a equipe, ele “começa pedindo aos usuários que ativem a permissão de acesso. Uma vez fornecido, ele se adiciona como administrador do dispositivo e impede que os usuários desativem o administrador do dispositivo, tornando-o desinstalável do telefone”.
Conta Exclusiva ChatGPT: Acesso Ilimitado
Desbloqueie o poder do ChatGPT com recursos premium. Aproveite 80,5% de desconto e garantia de 100% de satisfação. Junte-se hoje e viva a melhor experiência de chat com IA!
Cypress, do Zero à Nuvem: domine a automação de testes com confiabilidade e eficiência
Aprimore suas habilidades de automação de testes com Cypress, desde o início até a integração contínua.
Saiba Mais💻 Torne-se um Desenvolvedor Fullstack!
Domine as tecnologias mais requisitadas do mercado e conquiste sua carreira dos sonhos como Desenvolvedor Fullstack. Inscreva-se hoje!
Inscreva-se
Ciclo de Infecção do malware
O aplicativo obtém o URL do payload do malware bancário quando é iniciado pela primeira vez ao se conectar a um servidor Firebase. As amostras maliciosas de malware bancário Xenomorph são então baixadas do Github.
Mais tarde, para buscar mais comandos e espalhar a infecção, esse malware financeiro entra em contato com os servidores de comando e controle (C2) usando o conteúdo da página do Telegram ou uma rotina de código estático.
Os pesquisadores dizem que o malware encontrado na Play Store só baixará mais cargas úteis bancárias se o parâmetro “Enabled” estiver definido como verdadeiro. Além disso, a carga útil bancária tem o link da página do Telegram codificado com criptografia RC4. Após a execução, o payload bancário entrará em contato com a página do Telegram e baixará o conteúdo hospedado nessa página.
Aplicativo infectado
Em um caso, se um aplicativo legítimo for instalado no dispositivo infectado, ele exibirá a página de login falsa de um aplicativo bancário direcionado. Outro programa chamado “Expense Keeper” também foi visto pelo ThreatLabz como agindo de maneira semelhante, aponta o Security Affairs. Quando esta aplicação é executada, verifica-se que o “Parâmetro Ativado” está definido como falso.
A URL do Dropper para a carga bancária não pôde ser recuperada. Para o mesmo, o ThreatLabz colabora com a equipe de segurança do Google. Esses instaladores de phishing bancário frequentemente confiam em enganar os usuários para que instalem programas prejudiciais.
Os usuários precisam prestar atenção aos aplicativos que estão instalados. Um aplicativo da Play Store não deve exigir que os usuários o instalem de fontes não confiáveis Então, lembre-se disso!
LEIA TAMBÉM:
Gostou deste conteúdo?
Assine o E-Zine Ramos da Informática e receba semanalmente conteúdos exclusivos focados em desenvolvimento frontend, backend e bancos de dados para turbinar sua carreira tech.
📘 Conteúdo Exclusivo
Dicas, insights e guias práticos para alavancar suas habilidades em desenvolvimento e bancos de dados.
🚀 Hacks de Carreira
Ferramentas, atalhos e estratégias para se destacar e crescer rapidamente no mercado de tecnologia.
🌟 Tendências Tech
As novidades mais relevantes sobre desenvolvimento web, mobile e bancos de dados para você se manter atualizado.
Já somos mais de 5.000 assinantes! Junte-se a uma comunidade de profissionais que compartilham conhecimento e crescem juntos no universo tech.
