O malware infantil do Android Banking volta a causar impacto
O malware bancário Toddler não é exatamente novo, mas ainda é relativamente novo. Ele apareceu pela primeira vez nos radares dos pesquisadores de segurança em janeiro de 2021 e foi detectado em campanhas que atacavam usuários do Android em vários países da Europa continental. O malware está novamente nas manchetes, depois que pesquisadores de segurança da equipe PRODAFT Threat Intelligence publicaram um relatório detalhado sobre o qual a ZDNet relatou.
Toddler foi identificado em ataques realizados contra vítimas em até 60 bancos europeus diferentes. Um relatório do verão de 2021 afirmou que a maioria dos ataques se concentrou em usuários na Espanha e na Itália, mas houve esforços para espalhar o Toddler em outros países da Europa continental, bem como no Reino Unido.
O principal método de distribuição do malware Android são os arquivos .apk obtidos de outras fontes que não a loja oficial do Google Play. Até o momento, não houve evidências de aplicativos com Toddler na loja oficial do Google. No entanto, houve casos de sites legítimos que hospedaram o Toddler, depois de terem sido comprometidos pelos hackers.
Todas as ocorrências de infecções móveis reais que resultaram ser Toddler tiveram como alvo os mesmos 18 bancos. Curiosamente, a maioria das infecções se concentrou em apenas 5 dessas 18 instituições financeiras. De acordo com os pesquisadores de segurança que coletaram os dados do relatório, isso pode ser um indicativo de uma campanha anterior de phishing realizada por meio de mensagens de texto SMS. A Espanha é o maior ponto de acesso para ataques e um total de mais de 7600 dispositivos Android foram atingidos por Toddler.
O Toddler é tão versátil quanto a maioria dos outros malwares bancários populares. Ele tem a capacidade de roubar dados bancários, fazer capturas de tela e até mesmo interceptar códigos de identificação multifatoriais recebidos, interceptar mensagens SMS e processar comandos de entrada de seus servidores de comando e controle.
Quando se trata de colher credenciais bancárias, Toddler usa uma sobreposição que imita telas de login legítimas. O malware tem um monitor de aplicativo Android integrado e, assim que o usuário inicia sua ferramenta bancária legítima em seu telefone ou tablet, a sobreposição é ativada, pronta para roubar o que quer que seja inserido nela.
Outra característica que torna o Toddler particularmente interessante são seus mecanismos de persistência extremamente teimosos. O malware impedirá que o dispositivo Android reinicie e os pesquisadores sublinharam que o processo envolvido na remoção do Toddler de um dispositivo requer "grande conhecimento técnico".
