Demorou, mas aconteceu. Cibercriminosos brasileiros já miram seus ataques aos usuários de internet banking móvel, e como esperado, o Android foi a plataforma escolhida. Depois de páginas de phishing em formato móvel, chegou a vez de aplicativos maliciosos publicados na loja do Google Play. Depois da denúncia de um usuário encontramos 2 delas na Play Store, ambas usando o nome de Bancos locais, com funções de roubar credenciais de acesso dos usuários que instalassem esses aplicativos. Esses são tecnicamente os primeiros trojans desenvolvidos por cibercriminosos brasileiros atacando a plataforma Android.
Os aplicativos podiam ser encontradas junto aos aplicativos legítimos - um deles estava hospedado na loja desde o dia 31 de Outubro e registrou mais de 80 instalações, já o segundo estava publicado desde o dia 10 de Novembro e registrava apenas 1 instalação.
Ambos os apps estavam publicados em nome do usuário “Governo Federal”:
Ambos os aplicativos foram desenvolvidos usando o framework "App Inventor", que permite facilmente a qualquer usuário, mesmo os que não possuem conhecimento em programação Java de criar uma aplicação ativa. O resultado geralmente são apps de tamanho grande, com muito "código lixo". Os apps desenvolvido nesse framework contém diversas funções suspeitas, mas para os 2 aplicativos maliciosos encontrados ambos possuiam apenas as funções de carregar figuras e uma URL.
Os aplicativos podiam ser encontradas junto aos aplicativos legítimos - um deles estava hospedado na loja desde o dia 31 de Outubro e registrou mais de 80 instalações, já o segundo estava publicado desde o dia 10 de Novembro e registrava apenas 1 instalação.
Ambos os apps estavam publicados em nome do usuário “Governo Federal”:
Ambos os aplicativos foram desenvolvidos usando o framework "App Inventor", que permite facilmente a qualquer usuário, mesmo os que não possuem conhecimento em programação Java de criar uma aplicação ativa. O resultado geralmente são apps de tamanho grande, com muito "código lixo". Os apps desenvolvido nesse framework contém diversas funções suspeitas, mas para os 2 aplicativos maliciosos encontrados ambos possuiam apenas as funções de carregar figuras e uma URL.
Depois de instalados ambos aplicativos ativam funções de acesso TELNET ao dispositivo, além de realizar o comando de se conectar a um site legítimo de uma empresa, mas que foi alterado para hospedar as páginas de phishing em formato móvel.
A página de phishing em questão seriam abertas pelos aplicativos maliciosos como um iframe, porém algum bom samaritano as removeu do ar, deixando um aviso bastante interessante no site, que era exibido dentro dos apps quando abertos:
Tal fato obviamente tornou o golpe não funcional, mas o fato da publicação de apps maliciosas usando o nome de bancos conhecidos, na loja oficial do Google demonstra a facilidade com que cibercriminosos possuem para publicar conteúdos maliciosos por lá.
Fonte: Kaspersky
A página de phishing em questão seriam abertas pelos aplicativos maliciosos como um iframe, porém algum bom samaritano as removeu do ar, deixando um aviso bastante interessante no site, que era exibido dentro dos apps quando abertos:
Tal fato obviamente tornou o golpe não funcional, mas o fato da publicação de apps maliciosas usando o nome de bancos conhecidos, na loja oficial do Google demonstra a facilidade com que cibercriminosos possuem para publicar conteúdos maliciosos por lá.
Fonte: Kaspersky
