Recentemente, foi descoberta uma nova família de malware bancário direcionada a usuários no Brasil. Segundo uma publicação do pesquisador da ESET, Lukas Stefanko, quem realizou uma análise do malware, além de serem propagados pela loja oficial do Google Play, as ameaças também foram propagadas por meio de anúncios patrocinados no Facebook.

Trata-se de um malware bancário que simulou ser um aplicativo para melhorar o desempenho do dispositivo, chamado "Cleand Droid", e que registrou mais de 500 instalações; um aplicativo para monitorar o Facebook chamado "Quem viu teu perfil" que contou com mais de 10.000 instalações, e um aplicativo chamado "MaxCupons" que registrou 1.000 instalações da loja oficial do Google. Conforme Stefanko explicou, para ficar fora do alcance dos radares, esses aplicativos maliciosos (que já foram reportados para a equipe de segurança do Google) só poderiam ser baixados e instalados no Brasil.

Aplicativo para melhorar o desempenho do dispositivo, chamado "Cleand Droid".

"Quem viu teu perfil" estava disponível no Google Play há pelo menos um mês e tinha mais de 10.000 downloads.

De acordo com os dados registrados, o app "Quem viu teu perfil" estava disponível no Google Play há pelo menos um mês e tinha mais de 10.000 downloads. No entanto, existem duas páginas do Facebook em que uma delas distribui o aplicativo. Segundo o pesquisador, as duas páginas foram criadas no dia 24 de outubro e usam a mesma imagem de perfil da loja do Google, e uma das páginas estava localizada na cidade de São Paulo, conforme a descrição no Facebook - provavelmente para atrair mais pessoas dessa cidade em particular.

Exemplo de uma das páginas do Facebook que promoveu o CleanDroid.

A função maliciosa desses aplicativos

Depois de instalados, esses aplicativos solicitavam que os usuários ativassem os serviços de acessibilidade. Dessa forma, o malware obtinha o nome e o conteúdo de aplicativos legítimos que tivessem sido executados. O objetivo desses aplicativos é induzir os usuários a inserir seus dados de acesso no contexto de uma atividade falsa causada pela infecção. Nesse sentido, essa família de trojans tentava afetar cerca de 26 aplicativos móveis legítimos, dos quais nem todos são apps bancários, mas também financeiros, de entretenimento, mídias sociais, compras on-line, entre outros.

Veja logo abaixo a lista de aplicativos legítimos afetados pela nova família de malware para Android, como Uber, Caixa, Banco Itaú, entre muitos outros.

Lista de aplicativos legítimos que foram afetados por essa nova família de malware para Android.

Como remover esses aplicativos maliciosos?

Segundo Stefanko, os cibercriminosos por trás dessa ameaça não implementaram nenhum tipo de proteção para impedir ou dificultar a desinstalação desses aplicativos, portanto, basta entrar na configuração e na lista de aplicativos instalados para clicar na opção "desinstalar".