Outro grupo de aplicativos financeiros falsos encontrou uma forma de entrar na loja oficial da Google Play. Desta vez, os aplicativos se passam por seis bancos da Nova Zelândia, Austrália, Reino Unido, Suíça e Polônia, além do Exchange de criptomoedas do austríaco Bitpanda. Usando formulários falsos, os aplicativos maliciosos buscam roubar detalhes do cartão de crédito e/ou senhas de acesso às contas de instituições financeiras. Em seguida, os cibercriminosos tentam se fazem passar por essas instituições afetadas.
Figura 1 - Seis dos aplicativos maliciosos descobertos na Google Play
As versões falsas desses aplicativos foram enviadas a Google Play em junho de 2018 e foram instaladas mais de mil vezes antes de serem eliminadas pela Google. Além disso, os apps foram publicados com nomes de desenvolvedores diferentes, cada um fazendo-se passar por um diferente. No entanto, as semelhanças no código sugerem que os aplicativos fazem parte do trabalho de um único invasor. Por outro lado, os aplicativos usam ofuscação, o que pode ter contribuído para o fato de terem conseguiram entrar na loja sem serem detectados.
O único propósito desses aplicativos maliciosos é obter informações confidenciais de usuários desprevenidos. Alguns se aproveitam da ausência de um aplicativo de serviço oficial legítimo (como o Bitpanda), enquanto outros tentam enganar os usuários se fazendo passar por aplicativos oficiais que existem. A lista completa de serviços e bancos que tiveram suas identidades utilizadas pelos invasores pode ser vista no final deste post.
Como os aplicativos funcionam?
Embora os aplicativos não funcionem da mesma forma, uma vez executados, todos exibem uma maneira na qual solicitam os dados dos cartões de crédito e/ou acessam dados de login para o sistema bancário on-line do banco pelo qual se tenta fazer passar (você pode ver exemplos na Figura 2). Se os usuários preencherem esses formulários, os dados fornecidos serão enviados ao servidor do invasor. Em seguida, os aplicativos exibem uma mensagem na qual parabenizam ou agradecem ao usuário (exemplo dessa mensagem na Figura 3), e é aí que a função desses apps termina.
Figura 2 - Formulários falsos roubam dados de cartões de crédito e acessam dados de acesso aos sistemas bancários on-line
Figura 3 - Imagem que é exibida ao final em um dos aplicativos maliciosos
Como estar protegido?
Se você suspeitar que instalou e utilizou um desses aplicativos maliciosos, recomendamos desinstalá-los imediatamente.
Além disso, altere o código PIN do seu cartão, bem como a senha com a qual você acessa seu sistema bancário on-line e verifique se não houve qualquer atividade suspeita. Em caso de detecção de transações incomuns, entre em contato com seu banco. Recomenda-se aos usuáriso do Exchange de criptomoedas Bitpanda (que acreditam ter instalado o aplicativo bancário falso) que também verifiquem suas contas e modifiquem suas senhas de acessos.
Para evitar ser vítima de phishing e outros aplicativos bancários falsos, recomendamos que você:
- Confie apenas em aplicativos bancários ou financeiros quando estiverem vinculados ao site oficial de seu banco ou serviço financeiro;
- Somente baixe aplicativos da Google Play. Apesar disso não garantir que o aplicativo não seja malicioso, estes tipos de apps maliciosas são mais comuns em outras lojas e dificilmente são eliminados ao serem descobertos, ao contrário do que acontece na Google Play - onde os apps são removidos logo após identificar qualquer tipo de comportamento malicioso;
- Preste atenção ao número de downloads, pontuações e comentários feitos sobre o aplicativo na Google Play;
- Somente insira suas informações pessoais em formulários on-line, se tiver certeza de sua legitimidade;
- Mantenha seu dispositivo Android atualizado e use uma solução de segurança confiável. Os produtos da ESET detectam e bloqueam esses aplicativos maliciosos como Android/Spy.Banker.AIF, Android/Spy.Banker.AIE e Android/Spy.Banker.AIP.
Bancos e serviços afetados
Austrália e Nova Zelândia
Commonwealth Bank of Australia (CommBank)
The Australia and New Zealand Banking Group Limited (ANZ)
ASB Bank
Reino Unido
TSB Bank
Suíça
PostFinance
Polônia
Bank Zachodni WBK (renamed to Santander Bank Polska SA in September 2018)
Áustria
Bitpanda
Indicadores de comprometimento (IoCs)
| Package name | Hash | Detection |
|---|---|---|
| cw.cwnbm.mobile | 651A3734103472297A2C65C81757FB5820AD2AB7 | Android/Spy.Banker.AIF |
| au.money.go | DE09F03C401141BEB05F229515ABB64811DDB853 | Android/Spy.Banker.AIF |
| asb.ezy.pay | B6D70983C28B8A0059B454065D599B4E18E8097C | Android/Spy.Banker.AIF |
| uk.mobile.tsb | 91692607FB529218ADF00F256D5D1862DF90DAAF | Android/Spy.Banker.AIF |
| ch.post.finance | FE1B2799B65D36F19484930FAF0DA17A0DBE9868 | Android/Spy.Banker.AIF |
| pl.mblzch | C43E7A28E1B807225F1E188C6DA51D24DCC54F5F | Android/Spy.Banker.AIE |
| www.bit.panda | 7D80158C8C893E46DC15E6D92ED2FECFDB12BF9F | Android/Spy.Banker.AIP |
