Aplicativos Android maliciosos clonam serviços e aplicativos reais para roubar informações bancárias

O início de 2022 foi repleto de notícias sobre malware móvel. Em mais um caso de pesquisadores de segurança interceptando malware baseado em Android, uma equipe da ESET detectou uma campanha que falsificava aplicativos legítimos no mercado da Malásia e os usava para roubar informações bancárias das vítimas.

Pelo menos três aplicativos separados estavam envolvidos na campanha, de acordo com pesquisadores. Os aplicativos Android falsos estavam falsificando diferentes serviços e aplicativos legítimos associados a eles que são populares no país asiático.

Serviços de limpeza entre os aplicativos mais falsificados

A campanha estava tentando roubar credenciais bancárias das vítimas com oito bancos diferentes visados. Parece que os serviços de limpeza doméstica são um tópico muito importante na Malásia, já que a maioria dos aplicativos falsificados eram aqueles que ofereciam serviços de limpeza e limpeza doméstica. Os nomes incluíam Grabmaid, Maid4u e Maideasy. Um serviço de pet shop também foi falsificado pelos aplicativos maliciosos.

Embora a maioria dos aplicativos que foram clonados e carregados com malware existam como versões legítimas e separadas na Google Play Store, alguns dos serviços cujos nomes os hackers abusaram nem sequer têm um aplicativo móvel no Google Play.

A essência do ataque consiste em a vítima baixar o aplicativo falso e tentar fazer a compra de um produto ou serviço dentro dele. Claro, não há nenhum produto sendo oferecido pelos hackers e é tudo uma fachada. Ao tentar efetuar a compra, o cliente tem duas opções, uma das quais está sempre desabilitada, restando apenas a transferência bancária.

Se uma vítima tentar usar uma transferência bancária, verá uma tela contendo os logotipos e nomes de oito bancos diferentes da Malásia. Depois que a vítima escolhe um serviço bancário, ela precisa inserir suas credenciais, momento em que suas informações bancárias são coletadas e exfiltradas para um servidor controlado por hackers.

Aplicativos maliciosos podem interceptar SMS MFA

Os hackers até criaram páginas da Web para acompanhar alguns dos aplicativos, oferecendo os mesmos produtos e serviços falsos. As páginas da web serviam como redirecionamentos simples, porque tentar comprar qualquer coisa nelas simplesmente enviaria a vítima para o download do aplicativo falso malicioso.

Como um truque final, os hackers por trás da campanha também configuraram o malware para interceptar mensagens SMS MFA que os bancos podem usar como segurança extra e enviar a seus clientes. Isso não significa que a campanha maliciosa foi infalível. As vítimas ainda receberiam mensagens de MFA do nada, sem tomar nenhuma ação, quando os hackers mais tarde tentariam retirar ou transferir dinheiro das contas.