Outro grupo de aplicativos financeiros falsos encontrou uma forma de entrar na loja oficial da Google Play. Desta vez, os aplicativos se passam por seis bancos da Nova Zelândia, Austrália, Reino Unido, Suíça e Polônia, além do Exchange de criptomoedas do austríaco Bitpanda. Usando formulários falsos, os aplicativos maliciosos buscam roubar detalhes do cartão de crédito e/ou senhas de acesso às contas de instituições financeiras. Em seguida, os cibercriminosos tentam se fazem passar por essas instituições afetadas.

Figura 1 - Seis dos aplicativos maliciosos descobertos na Google Play

As versões falsas desses aplicativos foram enviadas a Google Play em junho de 2018 e foram instaladas mais de mil vezes antes de serem eliminadas pela Google. Além disso, os apps foram publicados com nomes de desenvolvedores diferentes, cada um fazendo-se passar por um diferente. No entanto, as semelhanças no código sugerem que os aplicativos fazem parte do trabalho de um único invasor. Por outro lado, os aplicativos usam ofuscação, o que pode ter contribuído para o fato de terem conseguiram entrar na loja sem serem detectados.

O único propósito desses aplicativos maliciosos é obter informações confidenciais de usuários desprevenidos. Alguns se aproveitam da ausência de um aplicativo de serviço oficial legítimo (como o Bitpanda), enquanto outros tentam enganar os usuários se fazendo passar por aplicativos oficiais que existem. A lista completa de serviços e bancos que tiveram suas identidades utilizadas pelos invasores pode ser vista no final deste post.

Como os aplicativos funcionam?

Embora os aplicativos não funcionem da mesma forma, uma vez executados, todos exibem uma maneira na qual solicitam os dados dos cartões de crédito e/ou acessam dados de login para o sistema bancário on-line do banco pelo qual se tenta fazer passar (você pode ver exemplos na Figura 2). Se os usuários preencherem esses formulários, os dados fornecidos serão enviados ao servidor do invasor. Em seguida, os aplicativos exibem uma mensagem na qual parabenizam ou agradecem ao usuário (exemplo dessa mensagem na Figura 3), e é aí que a função desses apps termina.

Figura 2 - Formulários falsos roubam dados de cartões de crédito e acessam dados de acesso aos sistemas bancários on-line

Figura 3 - Imagem que é exibida ao final em um dos aplicativos maliciosos

Como estar protegido?

Se você suspeitar que instalou e utilizou um desses aplicativos maliciosos, recomendamos desinstalá-los imediatamente.

Além disso, altere o código PIN do seu cartão, bem como a senha com a qual você acessa seu sistema bancário on-line e verifique se não houve qualquer atividade suspeita. Em caso de detecção de transações incomuns, entre em contato com seu banco. Recomenda-se aos usuáriso do Exchange de criptomoedas Bitpanda (que acreditam ter instalado o aplicativo bancário falso) que também verifiquem suas contas e modifiquem suas senhas de acessos.

Para evitar ser vítima de phishing e outros aplicativos bancários falsos, recomendamos que você:

  • Confie apenas em aplicativos bancários ou financeiros quando estiverem vinculados ao site oficial de seu banco ou serviço financeiro;
  • Somente baixe aplicativos da Google Play. Apesar disso não garantir que o aplicativo não seja malicioso, estes tipos de apps maliciosas são mais comuns em outras lojas e dificilmente são eliminados ao serem descobertos, ao contrário do que acontece na Google Play - onde os apps são removidos logo após identificar qualquer tipo de comportamento malicioso;
  • Preste atenção ao número de downloads, pontuações e comentários feitos sobre o aplicativo na Google Play;
  • Somente insira suas informações pessoais em formulários on-line, se tiver certeza de sua legitimidade;
  • Mantenha seu dispositivo Android atualizado e use uma solução de segurança confiável. Os produtos da ESET detectam e bloqueam esses aplicativos maliciosos como Android/Spy.Banker.AIF, Android/Spy.Banker.AIE e Android/Spy.Banker.AIP.

Bancos e serviços afetados

Austrália e Nova Zelândia

Commonwealth Bank of Australia (CommBank)
The Australia and New Zealand Banking Group Limited (ANZ)
ASB Bank

Reino Unido
TSB Bank

Suíça
PostFinance

Polônia
Bank Zachodni WBK (renamed to Santander Bank Polska SA in September 2018)

Áustria
Bitpanda

Indicadores de comprometimento (IoCs)

Package name Hash Detection
cw.cwnbm.mobile 651A3734103472297A2C65C81757FB5820AD2AB7 Android/Spy.Banker.AIF
au.money.go DE09F03C401141BEB05F229515ABB64811DDB853 Android/Spy.Banker.AIF
asb.ezy.pay B6D70983C28B8A0059B454065D599B4E18E8097C Android/Spy.Banker.AIF
uk.mobile.tsb 91692607FB529218ADF00F256D5D1862DF90DAAF Android/Spy.Banker.AIF
ch.post.finance FE1B2799B65D36F19484930FAF0DA17A0DBE9868 Android/Spy.Banker.AIF
pl.mblzch C43E7A28E1B807225F1E188C6DA51D24DCC54F5F Android/Spy.Banker.AIE
www.bit.panda 7D80158C8C893E46DC15E6D92ED2FECFDB12BF9F Android/Spy.Banker.AIP