Utilizar aplicativos móveis legítimos para proliferar ameaças é um modus operandi comum dos cibercriminosos: os hackers se baseiam na popularidade dos apps e, ao alcançar suas vítimas, utilizam o golpe para roubar informações ou distribuir payloads.
De acordo com a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – para distribuir seus aplicativos maliciosos, os cibercriminosos geralmente usam mercados de aplicativos de terceiros. No entanto, em operações como as que distribuíam CPUMINER, BankBot e MilkyDoor, hackers tentavam publicar seus aplicativos no Google Play ou na App Store. A Trend Micro constatou também uma abordagem mais sutil que envolve o SmiShing para direcionar possíveis vítimas a páginas maliciosas.
Recentemente, a Trend Micro observou uma campanha que utiliza mensagens SMS como um ponto de entrada para roubar informações do dispositivo infectado. Chamado de FakeSpy (a Trend Micro detectou essa ameaça como ANDROIDOS_FAKESPY.HRX).
O FakeSpy é capaz de roubar mensagens de texto, assim como informações de contas, contatos e registros de chamadas armazenados no dispositivo infectado. O FakeSpy também pode servir como um vetor para um trojan bancário (ANDROIDOS_LOADGFISH.HRX). Embora atualmente esteja limitado a infectar usuários falantes dos idiomas japonês e coreano, não será de se surpreender que o FakeSpy estenda o seu alcance, dada a maneira como os autores da ameaça ajustam ativamente as configurações do malware.
As vítimas recebem uma mensagem de texto (que se passa por uma mensagem legítima) de uma empresa japonesa de logística e transporte solicitando que os destinatários cliquem no link do SMS, conforme mostrado na Figura 1. O link os redirecionará para a página da Web mal-intencionada e ao, clicar em qualquer botão, o comando solicitará que os usuários baixem um pacote de aplicativo Android (APK). A página da Web também tem um guia, escrito em japonês, sobre como baixar e instalar o aplicativo.
Uma análise mais detalhada indica que esta campanha, também tem como alvo, usuários sul-coreanos e está ativa desde outubro de 2017. Para usuários coreanos, o malware de roubo de informações aparece como um aplicativo para várias empresas locais de serviços financeiros ao consumidor. Ao segmentar usuários japoneses, ele se apresenta como aplicativos para empresas de transporte, logística, correio e comércio eletrônico, um serviço de telecomunicações móveis e um varejista de roupas.
As configurações do FakeSpy, assim como o servidor de comando e controle (C&C), são criptografadas para evitar a detecção. Uma vez iniciado, o FakeSpy começará a monitorar as mensagens de texto que o dispositivo afetado recebe.
Essas mensagens SMS são roubadas e carregadas no C&C. Para manipular as funções internas do aplicativo, fazer o download e executar o JavaScript em um site remoto, o FakeSpy também utiliza a ponte JavaScript (JavaScriptInterface). Os comandos do FakeSpy incluem adicionar contatos ao dispositivo, configurá-lo para silenciar, redefinir o dispositivo, roubar mensagens SMS armazenadas e informações do dispositivo e atualizar suas próprias configurações.
Além do roubo de informações, o FakeSpy também pode verificar se existem aplicativos de Internet Banking no dispositivo. Se corresponderem aos aplicativos de interesse do FakeSpy, eles serão substituídos por versões falsificadas que imitam as interfaces do usuário (UI). Em seguida, os usuários recebem uma notificação pedindo que digitem suas credenciais devido a atualizações feitas no aplicativo para solucionar vazamentos de informações.
Ele também avisa os usuários que sua conta poderá ser bloqueada. As informações roubadas são enviadas ao servidor C&C assim que os usuários clicam no botão de login. Além de aplicativos bancários on-line, também verifica aplicativos usados para comércio de moedas digitais.
Para evitar ainda mais a detecção, o endereço do servidor C&C configurado nos aplicativos é atualizado pelo menos uma vez por dia. É importante notar também que os cibercriminosos por trás do FakeSpy são ativos, pelo menos com base em suas atividades em fóruns e nas URLs relacionadas que registram para hospedar seu malware.
O SMiShing não é um novo vetor de ataque, mas com engenharia social, ele pode atrair ou obrigar as vítimas a distribuir dados pessoais ou corporativos, ou direcioná-las para sites de hospedagem de malware. É importante que os usuários pensem antes de clicar, façam o download somente em lojas de aplicativos oficiais e atualizem regularmente as credenciais e os sistemas operacionais e aplicativos do dispositivo. Verifique se existem sinais indicadores de phishing, como erros gramaticais ou certos caracteres usados para falsificar uma URL legítima e, mais importante, tenha cuidado com mensagens não solicitadas que passem a sensação de urgência.
A inteligência artificial chegou a um ponto em que a disputa por modelos mais potentes…
O avanço da inteligência artificial (IA) generativa está transformando o cibercrime em uma operação muito…
A proximidade da Copa do Mundo de 2026 tem impulsionado não apenas o interesse dos…
O mercado de Software como Serviço (SaaS) na América Latina deve movimentar US$ 46 bilhões…
A SpaceX elevou as expectativas do mercado sobre seu potencial de crescimento após seu IPO…
A Tim Brasil concluiu uma iniciativa de modernização de sua operação de cibersegurança que resultou…