Em 2018, uma grande quantidade de malware bancário foi registrada na plataforma Android. Os cibercriminosos não só fizeram uso de trojans e apps bancários falsos, mas também experimentaram novas formas de roubar dinheiro.
Para ajudar os usuários a navegar por esse cenário complexo de ameaças direcionadas a usuários de dispositivos Android, o pesquisador de segurança da ESET, Lukáš Štefanko, explicou quais são os tipos de ameaças, táticas e técnicas mais comuns do malware bancário para Android no whitepaper: “Android banking malware: Sophisticated Trojans vs. Fake banking apps”.
Conversamos com Lukáš e fizemos algumas perguntas sobre sua última publicação.
Por que você se enfocou nesse assunto com tantos detalhes?
Eu trabalho diariamente com aplicativos maliciosos que estão sempre em busca de dados de logins bancários dos usuários do Android. Embora usem muitos tipos de truques, técnicas e métodos de propagação, considerando a forma de funcionando, é possível dividi-los em dois grandes grupos - como sugere o título do whitepaper. A diferença pode não estar totalmente clara para os usuários regulares do Android, por isso, tentamos explicá-las de forma mais detalhada.
Então, sofisticados trojans bancários e aplicativos bancários falsos. Por que é tão importante que os usuários estejam familiarizados com essa diferença?
Quando os usuários entendem o que estão enfrentando, acredito que eles passam a ter mais chances de estar protegidos. Ambas categorias podem ter o mesmo objetivo – roubar dados de acesso ou dinheiro das contas bancárias de suas vítimas -, mas as estratégias adotadas para atingir esses objetivos são muito diferentes. E isso significa que as formas de evitar ou remover ameaças também serão diferentes para cada categoria.
Você pode explicar as diferentes estratégias para alguém que não entende muito sobre o assunto?
Os trojans bancários são desonestos: eles tentam instigar os usuários a instalar a ameaça, fazendo-os acreditar que é divertido ou útil, e totalmente inofensivo. Os usuários podem acreditar que sejam jogos, gerenciadores de bateria, aplicativos climáticos, players de vídeo e muitos outros tipos de aplicativos. A ameaça tenta se manter escondida dos usuários enquanto coleta os direitos e permissões necessárias para o grand finale. Então, quando o usuário menos espera, desliza uma tela de login falsa sobre um aplicativo bancário legítimo e, assim, rouba os dados inseridos. As vítimas podem não perceber que algo está acontecendo, até descobrirem que o dinheiro desapareceu de suas contas.
Os apps bancários falsos são mais simples: todos tentam convencer os usuários de que são aplicativos bancários legítimos. Depois de instalados e executados, eles apresentam um formulário para iniciar a sessão, assim como um aplicativo bancário real faria. E, como você provavelmente já adivinhou, os dados de login inseridos no formulário são coletadas.
Quais são as chances de um usuário cair na armadilha de um app bancário falso?
Eu diria que as chances são menores do que com os trojans bancários, mas hoje em dia alguns aplicativos podem ser bastante confiáveis, apesar de serem falsos. Talvez, mais importante do que saber quantos usuários instalaram um malware seja saber quantos deles se tornaram vítimas - e as chances são altas no caso de apps bancários falsos. Isso ocorre porque os usuários instalam esses aplicativos acreditando que estão instalando um aplicativo bancário atual, o que os predispõe a inserir seus dados de acesso quando visualizam uma tela de login.
Uma dessas categorias pode ser considerada mais perigosa que a outra?
Do ponto de vista técnico, sim - os trojans bancários são mais robustos e cada vez mais híbridos. Isso significa que suas capacidades vão além do simples roubo de credenciais bancárias, pois, por exemplo, essas ameaças podem ter recursos semelhantes a spyware ou ransomware. Mas se estamos falando sobre o perigo de roubar uma de nossas credenciais bancárias, acho que os aplicativos bancários falsos são igualmente perigosos.
Qual dica do seu whitepaper você destacaria como uma das mais úteis?
Acredito que os três princípios fundamentais para evitar o malware bancário para Android.
O primeiro seria ficar longe das lojas de aplicativos não oficiais, sempre que possível, e manter a função "instalação de aplicativos de fontes desconhecidas" desativada no seu dispositivo.
Em segundo lugar, prestar atenção às imagens dos aplicativos no Google Play e continuar observando o seu comportamento mesmo depois de serem instalados. Comentários e permissões negativos que não estão conectados à função do aplicativo são os principais sinais de alerta.
Para finalizar, é fundamental baixar apenas aplicativos bancários ou financeiros se o site oficial do banco ou instituição financeira apresentar um link para baixar o aplicativo.
Baixar aplicativos que estão sendo pesquisados em vez de instalar apps descobertos por acaso pode ser a melhor forma de evitar malwares.