Brasil: instalador falso do Chrome rouba dados bancários

Um arquivo chamado ?ChromeSetup.exe? é oferecido para download em vários sites, e o link para o arquivo parece estar hospedado corretamente nos domínios do Facebook e Google. Na realidade, o software não instala o navegador, mas sim um aplicativo troia que rouba informações e é conhecido como Banker, afirmou o fornecedor de antivírus Trend Micro.

Uma vez que o malware ? que parece ter como alvo usuários latino americanos, especialmente do Brasil e Peru ? é executado, ele retransmite o endereço IP e versão do sistema operacional para um dos servidores command-ad-control (C&C), depois transfere um arquivo de configuração. Depois disso, sempre que o usuário com o PC infectado visita um site bancário, a ameaça intercepta a solicitação de HTTP, redireciona o usuário para uma página bancária falsa e também abre uma caixa de diálogo informando o usuário que um novo software de segurança será instalado.

Segundo o pesquisador de segurança Brian Cayanan, da Trend Micro, em um post de blog, o malware de fato foi projetado para desinstalar o GbPlugin e é ?um software que protege clientes bancários no Brasil quando realizam transações. Essa função é realizada por meio do gb_catchme.exe ? uma ferramenta legítima da GMER, chamada Catchme, cuja intenção original é desinstalar software malicioso. Os invasores nesse caso, usam a ferramenta com intenções maliciosas?.

Trend Micro obteve acesso a um arquivo de log associado com os servidores C&C que estavam gerenciando a entrada dos bancos e viu inúmeros PCs infectados com o malware se multiplicarem rapidamente. ?Quando o painel C&C estava sendo analisado, os logs foram de cerca de 400 para quase seis mil, em três horas. Esses logs comprometiam três mil endereços IPs únicos, o que se traduz no número de máquinas infectadas?. Logo os servidores C&C ? que foram vistos pela primeira vez em outubro de 2011 ? se tornaram inacessíveis. Isso sugere que os invasores estavam se mudando para novos servidores, afirmou Cayanan, observando que quem está por trás do malware, continuará melhorando as capacidades do aplicativo malicioso.

No momento, Cayanan disse que sua empresa continua a estudar a ameaça, dizendo que uma informação desconhecida é como software malicioso ?consegue redirecionar usuários de sites normais como o Facebook ou Google para seu IP malicioso, e assim baixarem o malware?.

A GFI Labs alerta que um novo malware Android se finge de software gratuito de antivírus. Anunciado por meio de spam do Twitter, promovendo links para ?sexi gerl see?, entre outras frases, o aplicativo malicioso está disponível por meio de sites com o endereço ponto TK (.tk), que é o nome de domínio para Tokelay, um território da Nova Zelândia no Pacífico Sul.

Ao clicar no link, os usuários são enviados para uma página de rede escrita em russo ? hospedada na Ucrânia ? que faz publicidade de vários produtos, incluindo atualizações falsas para Opera e Skype, bem como um ?Anit-Virus Scanner? (sic). (como se em português, estivesse escrito anitvírus ? nota do tradutor) ?Aos usuários que acessam e usam esse scanner, é dada a opção de baixar e instalar um arquivo, que varia, dependendo se o alvo é um PC ou um telefone?, afirmou Jovi Umawing, pesquisador da GFI Labs. Curiosamente, a versão PC ? entregue por meio de um arquivo Java ? falha na execução. Mas o aplicativo Android (APK) se instala corretamente. O ícone foi copiado da empresa de segurança Kaspersky.

Muitas ferramentas de segurança têm dificuldade me perceber o arquivo APK. Segundo o pesquisador Vesselin Bontchev da FRISK Software, ?o arquivo falso antivírus é polifórmico?. O malware polifórmico é projetado para mudar toda vez que é baixado, o que gera capacidades idênticas de ataque, mas diferentes assinaturas.

Qual é o propósito do malware Anit-Virus Scanner? Como na maioria dos ataques online, ganhar dinheiro fácil. ?Se você instalar o app em seu dispositivo móvel, ele enviará mensagens sms para serviços premium?, disse Graham Cluley, consultor sênior de tecnologia da Sophos em uma postagem de blog, que também estuda o malware.

Como com a maioria dos malwares, o falso antivírus também tem a habilidade de baixar e instalar outros códigos da internet em sem aparelho Android, o que permite que invasores ataquem o dispositivo ou roubem dados de diversas maneiras.