Uma empresa de cibersegurança encontrou um malware perigoso numa aplicação Android, disponível na Google Play Store. Este software malicioso consegue roubar dinheiro diretamente de contas bancárias através de aplicações de mobile banking, e fá-lo de forma totalmente automática.
Aplicação Android infetada com malware
A empresa de cibersegurança ThreatFabric descobriu um malware, batizado de Xenomorph, numa aplicação Android de um programador bastante conhecido, Sam Ruston, criador de apps populares como Hurry – Daily Countdown, BuzzKill – Phone Superpowers e Flamingo.
O problema reside na aplicação CoinCalc. Assim que a instalas no teu telemóvel, ela pede-te para instalares uma suposta atualização ou um plug-in que, na verdade, se faz passar pelo Google Play Protect.
Para que tenhas uma ideia, o Google Play Protect é o sistema de segurança que verifica as aplicações quando as instalas e analisa regularmente o teu dispositivo. Se encontrar uma aplicação potencialmente perigosa, o Google Play Protect pode tomar várias ações:
- Enviar-te uma notificação. Para removeres a app, basta tocares na notificação e, de seguida, em “Remover”.
- Desativar a aplicação até que a removas.
- Remover a aplicação automaticamente, notificando-te de que a remoção foi efetuada.
A questão é que o Play Protect já vem instalado de origem nos dispositivos Android. Portanto, se uma aplicação te pede para o descarregares, é um grande sinal de alarme. E, segundo a ThreatFabric, é precisamente este o truque usado pela CoinCalc.
O malware Xenomorph utiliza uma estrutura de Sistemas de Transferência Automatizada (ATS) para desviar dinheiro das contas através das apps bancárias. Esta tecnologia permite ao malware recolher as tuas credenciais de acesso e consultar o saldo das tuas contas. Pior ainda, consegue intercetar tokens de autenticação multifator e automatizar totalmente as transações — tudo sem que dês por nada.
E a autenticação de dois fatores não protege?
A ThreatFabric salienta que muitos bancos estão a trocar a clássica autenticação de dois fatores por SMS pela chamada autenticação multifator. No entanto, esta camada extra de segurança tem uma vulnerabilidade quando tudo acontece no mesmo aparelho.
Frequentemente, a autenticação multifator recorre a aplicações de autenticação instaladas no mesmo telemóvel onde está a aplicação do banco. Isto abre a porta para que o malware consiga aprovar transações fraudulentas, uma vez que tem acesso a tudo o que precisa no próprio dispositivo.
De acordo com a análise da ThreatFabric, o malware Xenomorph presente na CoinCalc consegue roubar informações sensíveis de mais de 400 aplicações bancárias, incluindo as de vários bancos europeus conhecidos.
