Os usuários do Android foram alvo de um novo malware bancário com capacidades de bloqueio de tela, escondido em um aplicativo de previsão do tempo disponível no Google Play. Detectado pela ESET como Trojan.Android/Spy.Banker.HU, o malware é uma versão trojanizada do aplicativo Good Weather.

O app malicioso conseguiu escapar dos mecanismos de segurança do Google e apareceu na loja virtual no dia 04 de fevereiro. Dois dias depois de ser reportado pela ESET foi eliminado, embora durante sua curta vida tenha chegado aos dispositivos de 5.000 usuários.

Além das funcionalidades de previsão do tempo que adotou da versão original, o trojan pode bloquear e desbloquear dispositivos infectados remotamente e interceptar mensagens de texto. Por sua vez, focou em usuários de 22 apps móveis de bancos da Turquia, cujas credenciais foram coletadas usando falsos formulários de login.

app_1

Imagem 1: App trojanizado do Good Weather no Google Play.

app_2

Screen-Shot-2017-02-22-at-10.19.55

Imagem 2: Descrição do app malicioso no Google Play.

Como funciona?

Após o usuário instalar esse aplicativo (sem saber que é malicioso), automaticamente desaparece o ícone temático do clima. O dispositivo infectado mostra uma falsa tela de sistema que solicita os direitos de administrador, simulando uma fictícia “atualização do sistema”. Habilitando esses direitos, a vítima permite que o malware troque a senha de bloqueio da tela e, em seguida, bloqueie o dispositivo.

app_4

Imagem 3: Em verde, a versão legítima do Good Weather. Em vermelho, a versão maliciosa.

 

app_5

Imagem 4: Falsa "atualização de sistema" que solicita direitos de administrador do dispositivo.

 

Junto com a permissão de interceptar mensagens de texto obtidas durante a instalação, o trojan agora está pronto para começar a atividade maliciosa.

Os usuários que não estavam atentos até esse ponto estarão encantados com o novo widget do clima que pode ser adicionado a tela principal. No entanto, no fundo, o malware está começando a trabalhar, compartilhando informações do dispositivo com o seu servidor de C&C. Dependendo do comando que seja estabelecido, pode interceptar mensagens de texto recebidas e enviá-las ao servidor, bloquear e desbloquear remotamente o dispositivo (estabelecendo uma senha de sua escolha) e coletar credenciais bancárias.

Para isso, o trojan mostra uma falsa tela de login uma vez que o usuário executa um dos aplicativos bancários que figura em sua lista de alvos, e envia os dados inseridos para o atacante. Graças a permissão de interceptar as mensagens de texto da vítima, o malware também pode escapar da dupla autenticação baseada em SMS.

Enquanto ao bloqueio do dispositivo, suspeitamos que essa função entra em cena ao extrair fundos da conta bancária comprometida, para manter a atividade fraudulenta de forma oculta. Uma vez que ficam sem acesso ao dispositivo, o único que as vítimas podem fazer é esperar que o malware receba o comando para desbloqueá-lo.

 

Baixou o app malicioso? Como limpar o seu dispositivo?

Caso tenha instalado um aplicativo projetado para fornecer a previsão do tempo, é importante verificar se você não foi mais uma vítima desse trojan bancário.

Se você acha que baixou um app chamado Good Weather, procure o seu ícone em seus aplicativos instalados. Se for amarelo como mostra a imagem 3, não se preocupe, pois há problema. Não encontra nenhum ícone e o aplicativo apenas funciona como widget? Procure em Configurações → Administrador de Aplicativos. Caso encontre um aplicativo com ícone azul, como na imagem, você baixou a imitação maliciosa do Good Weather.

Para limpar o seu dispositivo, é possível recorrer a uma solução de segurança de renome como ESET Mobile Security ou remover o malware manualmente. Para desinstalar o trojan, primeiro é necessário desativar seus direitos de administrador em Configurações → Segurança→ System update. Uma vez feito isso, você pode desinstalar o aplicativo malicioso em Configurações → Administrador de Aplicativos → Good Weather.

app_6

Imagem 5: Malware disfarçado como "System update" dentro dos administradores de dispositivos ativos.

 

app_7

Imagem 6: O trojan no administrador de aplicativos.

 

Como garantir a segurança?

Considerando que a versão trojanizada do app já foi eliminada da loja virtual, você já pode baixar o Good Weather da forma como o desenvolvedor AsdTm o entregou ao Google Play, com mais segurança.

No entanto, como versões falsas de aplicativos legítimos continuam se infiltrando no Play Store, é bom seguir certos princípios básicos de segurança para evitar dar de cara com um deles.

Embora não seja infalível, o Google Play conta com mecanismos de segurança avançados para manter o malware fora da loja virtual. Como isso não ocorre com as lojas alternativas de aplicativos, ou outros repositórios desconhecidos, escolha lojas oficiais sempre que seja possível.

Ao realizar downloads por meio do Play Store, conheça as permissões antes de instalar ou atualizar qualquer aplicativo. Ao invés de autorizar tudo o que é demandado de forma automática, verifique o que isso pode significar para o app e para o seu dispositivo. Se algo parece fora do lugar, leia o que outros usuários escreveram nos comentários e pense duas vezes antes de baixá-lo.

Depois de executar algo que tenha instalado em seu dispositivo móvel, continue prestando atenção às permissões e os direitos solicitados. Um app que não funciona sem permissões complexas que não estão conectados a sua funcionalidade principal pode ser um app indesejado em seu telefone.

Por último, mas não menos importante (inclusive quando tudo falha), uma solução de segurança móvel confiável pode te proteger de ameaças ativas.

Você também é bem-vindo ao stand da ESET B05 (no hall 5) no Mobile World Congress deste ano, realizado em Barcelona (Espanha), ​​de 27 de fevereiro a 2 de março.

 

Amostra analisada

22-2-2017 11-59-57 a- m-

Aplicativos alvo da ameaça

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank_direkt
com.akbank.softotp
com.akbank.android.apps.akbank_direkt_tablet
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank