Pesquisadores de segurança descobriram dois novos malwares que afetam dispositivos Android. Enquanto um deles se disfarça de aplicativos que prometem melhorar o desempenho de smartphones, o outro invade apps genuínos para utilizar técnicas de phishing e roubar dados sensíveis.
Não aparenta
O malware disfarçado estava por trás de nove aplicativos disponíveis na Play Store que, somados, já haviam sido baixados mais de 470 mil vezes. “Speed Clean” e “Super Clean”, como eram chamados, aparentemente eram inofensivos, porém eles rodavam em segundo plano para roubar dados de login do Facebook e do Google dos usuários, a fim de aplicar anúncios fraudulentos.
Confira abaixo os aplicativos que faziam parte da campanha maliciosa:
- Shoot Clean-Junk Cleaner, Phone Booster, CPU Cooler
- Super Clean Lite-Booster, Clean&CPU Cooler
- Super Clean-Phone Booster, Junk Cleaner&CPU Cooler
- Quick Games-H5 Game Center
- Rocket Cleaner
- Rocket Cleaner Lite
- Speed Clean-Phone Booster, Junk Cleaner&App Manager
- LinkWorldVPN
- H5 gamebox
O problema atingiu países como Japão, Taiwan, Estados Unidos, Índia e Tailândia. Em contrapartida, os mesmos apps não atuavam de forma maliciosa na China, país em que os cibercriminosos residiam.
Após a denúncia, o Google removeu os nove aplicativos da Play Store.
O retorno de Anubis
Conhecido por sua engenhosidade, o Anubis é um malware de sistemas Android capaz de roubar todos os tipos de dados sensíveis das mais diferentes formas há anos.
A campanha maliciosa mais recente usa um e-mail aparentemente oficial com faturas de cobrança. A fatura é, na verdade, um arquivo APK, utilizado para baixar aplicativos em dispositivos Android. Uma solicitação de permissão surge na tela e, se aceita, o Anubis desabilita o Play Protect e obtém 19 permissões.
Com a porta de entrada sem nenhuma proteção, o Anubis verifica se 263 aplicativos bancários diferentes estão instalados e espera até que o usuário tente utilizar algum deles para usar uma tela de sobreposição de phishing e coletar os dados inseridos.
Além disso, o malware possui um ransomware que criptografa arquivos armazenados. “O módulo de ransomware é um ‘recurso’ extra ou secundário que pode ser ativado remotamente quando o invasor não tiver outro uso para o telefone”, explicou um pesquisador da Cofense, a empresa identificou os malwares. “Por exemplo, depois que o invasor coleta e explora todas as credenciais, contatos, e-mails, mensagens, fotos confidenciais etc., pode optar por criptografar o telefone como resgate ou simplesmente destruí-lo por malícia”, completou.
O problema com o Anubis ainda não foi solucionado.
Via: Ars Technica