Trojan bancário propaga-se através de aplicações de antivírus

Os investigadores da Check Point descobriram que algumas aplicações maliciosas para Android, mascaradas de soluções de antivírus, têm sido utilizadas para propagar o trojan bancário Sharkbot. O trojan foi distribuído em seis aplicações da Google Play Store, provenientes de contas com os nomes Zbynek Adamcik, Adelmio Pagnotto e Bingo Like Inc.

Os agentes maliciosos utilizam o Sharkbot para roubar e manipular credenciais bancárias e de login. O malware utiliza técnicas de evasão e de geofencing, de forma a não atingir dispositivos na China, Índia, Roménia, Rússia, Ucrânia e Bielorrússia.

Uma das suas capacidades mais poderosas é a de transferir dinheiro via ATS (Automatic Transfer Systems). Os investigadores acreditam que mais de 15 mil cópias das aplicações foram instaladas antes de serem removidas, com a maioria das vítimas a viverem em Itália e no Reino Unido. Depois de reportadas, as aplicações foram removidas da Play Store pela Google, de forma permanente.

Adicionalmente, os analistas de segurança observaram 27 versões diferentes do Sharkbot, malware no qual os cibercriminosos recorrem, ainda, à técnica de Domain Generation Algorithm. Mais, o Sharkbot pode apresentar uma página falsa das aplicações bancárias utilizando as permissões de acessibilidade aos serviços do Android, que permitem ultrapassar barreiras de segurança. Além disso, o trojan tem a capacidade de criar respostas automáticas a notificações de aplicações como o Messenger ou o Whatsapp.