Como os cavalos de Troia do Android Banking estão escapando das defesas do Google Play

Malware em um telefone
Suttipun / Shutterstock.com

No que é um lembrete sombrio para ter cuidado com o que você instala, um novo grupo de aplicativos Android foi baixado mais de 300.000 vezes e está roubando informações de contas bancárias e esgotando contas.

Conforme relatado ao Ars Technica , um grupo de pesquisadores do  ThreatFabric descobriu uma série de aplicativos que roubam credenciais de contas bancárias e fundos dessas contas.

“O que torna essas campanhas de distribuição do Google Play muito difíceis de detectar a partir de uma perspectiva de automação (sandbox) e aprendizado de máquina é que todos os aplicativos de conta-gotas têm uma pegada maliciosa muito pequena”, escreveram pesquisadores da empresa de segurança móvel ThreatFabric em um blog. “Esta pequena pegada é uma consequência (direta) das restrições de permissão impostas pelo Google Play.”

Isso significa que os aplicativos começam como algo não malicioso. Por exemplo, eles podem ser scanners QR , scanners PDF ou carteiras de criptomoedas . Uma vez instalados, os aplicativos irão solicitar que os usuários baixem as atualizações através de fontes de terceiros, o que significa que você está transferindo as atualizações para o seu dispositivo, evitando assim as proteções do Google Play .

Trabalhar dessa forma também significa que os aplicativos não são detectados por antivírus quando instalados, pois são totalmente inofensivos quando baixados do Google Play pela primeira vez. Só quando eles conquistam a confiança do usuário e consigam convencê-los a baixar as atualizações de terceiros é que eles fazem seu trabalho.

“Essa incrível atenção dedicada a evitar atenção indesejada torna a detecção automatizada de malware menos confiável”, disse a postagem do ThreatFabric. “Essa consideração é confirmada pela pontuação geral muito baixa do VirusTotal do número de 9 droppers que investigamos nesta postagem do blog.”

Recomendado:  Como redefinir de fábrica um MacBook Air, MacBook Pro ou qualquer Mac

A família de malware específica é chamada de Anatsa, e é um Trojan que visa bancos no Android. Ele tem acesso remoto e sistemas de transferência automática de fundos que podem drenar a conta bancária do usuário assim que ele tiver acesso. Ele vem com a capacidade de roubar senhas e códigos de autenticação de dois fatores. Ele também pode registrar as teclas digitadas e fazer capturas de tela.

Então, o que você pode fazer para evitar que os aplicativos escapem das defesas do Google? Não faça o sideload de atualizações de um aplicativo baixado no Google Play. Se o aplicativo precisar de uma atualização regular, não deve haver razão para a atualização ser transferida, já que o Google Play tem seu próprio processo de atualização de aplicativos. O único motivo pelo qual um desenvolvedor precisaria fazer o sideload de uma atualização é se ele estivesse tentando burlar as proteções do Google por algum motivo.

Além disso, tente baixar aplicativos de empresas conceituadas, se possível. Você também pode se manter seguro excluindo aplicativos que não usa mais.