São Paulo, 20 de abril de 2022 – Pesquisadores da ESET, uma empresa líder em detecção proativa de ameaças, identificaram três aplicativos maliciosos usados para roubar credenciais bancárias de clientes de oito bancos da Malásia. Eles alertam como é a metodologia do golpe e a importância de ser avisado caso essa técnica seja replicada globalmente.
Em uma campanha em andamento direcionada a clientes de oito bancos da Malásia, os cibercriminosos estão tentando roubar credenciais bancárias usando sites falsos que se apresentam como serviços legítimos, às vezes copiando diretamente o design do site original. Esses sites usam nomes de domínio semelhantes aos de serviços oficiais para ter mais chances de passar despercebido aos olhos de potenciais vítimas.
“Embora a campanha tenha como alvo apenas a Malásia por enquanto, ela pode se expandir posteriormente para outros países e bancos. Os invasores estão procurando credenciais bancárias agora, mas também podem adicionar roubo de informações de cartão de crédito no futuro”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa ESET América Latina.
Esta campanha foi identificada pela primeira vez no final de 2021, apresentando-se como o legítimo serviço de limpeza Maid4u. Distribuída por meio de anúncios do Facebook, a campanha busca convencer as vítimas em potencial a baixar malware para Android de um site malicioso. No momento que este texto foi escrito, a campanha maliciosa ainda estava em andamento, com ainda mais domínios registrados para distribuição após sua descoberta. Em janeiro de 2022, o MalwareHunterTeam compartilhou informações sobre três outros sites maliciosos e Trojans Android atribuídos a esta campanha.
Além disso, os pesquisadores da ESET encontraram outros quatro sites falsos. Esses endereços não oferecem a opção de compra diretamente por meio deles. Em vez disso, eles incluem botões para supostamente baixar aplicativos do Google Play. No entanto, clicar nesses botões não leva à loja oficial do Google Play, mas aos servidores controlados pelos cibercriminosos. “Para ser bem-sucedido, este ataque exige que as vítimas ativem a opção “Instalar aplicativos desconhecidos” em seus dispositivos, que está desativada por padrão. Vale ressaltar que cinco das sete versões legítimas desses serviços não possuem sequer um aplicativo disponível na loja Google Play”, acrescenta o pesquisador da ESET.
Para parecerem legítimos, os aplicativos solicitam que os usuários façam login assim que forem abertos; no entanto, não há validação de conta do lado do servidor: o software recebe qualquer entrada do usuário e sempre a declara correta. Mantendo a aparência de uma verdadeira loja online, as aplicações maliciosas pretendem oferecer produtos e serviços para compra utilizando uma interface semelhante à das lojas originais. Quando chega a hora de pagar a compra, as vítimas têm duas opções de pagamento: podem pagar com cartão de crédito ou por transferência bancária.
O objetivo dos invasores é obter as credenciais bancárias de suas vítimas. Depois de escolher a opção de transferência direta, as vítimas são apresentadas a uma página de pagamento FPX falsa e precisam escolher um banco entre oito opções e, em seguida, inserir suas credenciais.
Depois que as vítimas enviam suas credenciais bancárias, elas recebem uma mensagem de erro informando que o nome de usuário ou a senha fornecidos são inválidos. Neste ponto, as credenciais inseridas já foram enviadas para os operadores de malware.
Para garantir que os operadores por trás dessa campanha possam acessar as contas bancárias de suas vítimas, os aplicativos da loja virtual falsa também encaminham todas as mensagens SMS que a vítima recebe para os invasores, caso alguma dessas mensagens contenha o código de autenticação de dois fatores (2FA) enviado pelo banco.
Para se proteger contra esse tipo de ameaça, a ESET compartilha os seguintes conselhos:
● Verifique se o site é seguro, ou seja, sua URL começa com . Alguns navegadores podem até se recusar a abrir sites não HTTPS e avisar explicitamente os usuários ou fornecer uma opção para ativar o modo somente HTTPS.
● Tenha cuidado ao clicar em anúncios e não clique nos resultados patrocinados fornecidos pelos mecanismos, pois eles podem não levar ao site oficial.
● Quando no celular, preste atenção à origem dos aplicativos que você está baixando. Certifique-se de ser redirecionado para a Google Play Store para obter um app.
● Sempre que possível, use o Google Authenticator ou opções similares para a verificação em duas etapas. Evite SMS.
● Use uma solução de segurança para dispositivos móveis para detectar sites perigosos e aplicativos maliciosos.
Para saber mais sobre segurança da informação, visite o portal de notícias da ESET: https://www.welivesecurity.com/br/
Por outro lado, a ESET convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança informática. Para ouvir acesse: https://open.spotify.com/show/61ScjrHNAs7fAYrDfw813J