Malware Android engana usuários do Facebook e rouba dados

Lucian Constantin, IDG News Service
18 de abril de 2014 - 09h00
Vírus instrui usuários da rede a fazer o download e instalar o malware Android que pode roubar códigos de autenticação enviados via SMS.

Os cibercriminosos começaram a usar um sofisticado aplicativo malware para Android projetado para fraude de e-banking e com foco em usuários do Facebook - em uma possível tentativa de burlar a proteção de autenticação de dois fatores na rede social.

Os pesquisadores de segurança da empresa de antivírus ESET identificaram uma nova variante do Cavalo de Troia para computador chamado de Qadars, que injeta um código JavaScript malicioso nas páginas do Facebook quando a rede social é aberta em um navegador de um sistema infectado.

O código injetado gera a mensagem que instrui os usuários a fazer o download e instalar o malware Android que pode roubar códigos de autenticação enviados pelos seus smartphones via SMS.

Webinjects

Estes ataques man-in-the-browser são conhecidos como webinjects e têm sido muito utilizados por Cavalos de Troia para computador com o objetivo de exibir formulários web maliciosos em sites de internet banking, com o objetivo de coletar credenciais de login e outras informações financeiras confidenciais dos usuários.

Os Webinjects também são comumente utilizados ​​para exibir mensagens que instruem os usuários a baixar e instalar aplicativos maliciosos em seus smartphones, se passando por aplicativos de segurança supostamente exigidos pelas instituições financeiras.

Na verdade, esses apps móveis maliciosos são projetados para roubar números de autorização de transações móveis e outras senhas de uso único enviadas pelos bancos via SMS.

Em fevereiro, pesquisadores de segurança da RSA, divisão de segurança da EMC, relataram que o código fonte de um Cavalo de Troia avançado para Android, chamado de iBanking, foi liberado em fóruns maliciosos. Os especialistas alertaram que esse movimento permitiria que mais cibercriminosos incorporassem tal ameaça móvel em futuras operações.

Como age

Uma vez instalado em um smartphone Android, o iBanking pode capturar mensagens recebidas e enviadas, redirecionar chamadas para um número de telefone pré-determinado para capturar o audio do ambiente usando o microfone do dispositivo e pode roubar o histórico de chamadas e lista telefônica.

Os autores do Trojan de computador Qadars foram rápidos em adotar o iBanking, de acordo com um novo relatório feito por pesquisadores da ESET, mas em vez de usá-lo contra usuários de serviços bancários online, a ameaça parece ter foco em contas no Facebook.

"Por meio do nosso monitoramento do malware bancário Win32/Qadars, temos assistido a um tipo de WebInject totalmente novo para nós: ele usa JavaScript, desenvolvido para ser injetado em páginas do Facebook, que tenta atrair o usuário a instalar uma aplicação Android", disse o pesquisador de malware da ESET, Jean-Ian Boutin, na quarta-feira (16), em um post no blog da empresa.

Quando os usuários acessam o Facebook em uma máquina infectada com o Qadars, é exibida uma mensagem a qual informa que "devido a um crescente número de tentativas para conseguir acesso ilegal a informações pessoais de nossos usuários e para evitar o vazamento de dados, a administração do Facebook introduz um novo sistema extra de proteção e segurança".

A suposta proteção é apresentada na forma de um aplicativo móvel que gera um código único de autenticação que pode ser usados no lugar das senhas comuns. Para obter a aplicação, os usuários são solicitados a especificar o OS de seus dispositivos móveis e seu número de celular. Eles, então, são redirecionados a uma página com um link para download e um QR code.

A aplicação oferecida para usuários de dispositivos Android é uma versão do iBanking, que foi modificada para se parecer com um app para Facebook, o qual gera senhas para serem usadas uma única vez.

Durante a instalação, os usuários são instruídos a habilitarem as configurações em seu Android que permitem a instalação de aplicativos obtidos por fontes desconhecidas e também a fornecer ao aplicativo permissão de administrador do dispositivo.

"A forma como o iBanking é instalado no dispositivo móvel do usuário é bem comum, mas essa é a primeira vez que vemos uma aplicação móvel desse tipo focar em usuários do Facebook para fraude de contas", disse Boutin.

É possível que os cibercriminosos estão usando o iBanking para roubar códigos de segurança enviados via SMS pelo sistema legítimo de autenticação dupla do Facebook. Pode ser que exista um número crescente de pessoas que usam essa ferramenta de proteção na rede social, o que torna as contas mais difíceis de serem comprometidas por meio de ataques tradicionais de roubo de credenciais, disse o Boutin.

No entanto, também é possível que os crackers tenham escolhido usar o webinjects no Facebook porque é uma forma eficaz de distribuir o malware a uma porção de usuário sem se preocupar com qual site de banco em particular as vítimas interagem regularmente.

"Agora que serviços web tradicionais como o Facebook também são alvo de malware móvel, será interessante ver se outros tipos de vírus começarão a usar webinjects", disse Boutin. "O tempo dirá, mas por conta da comoditização do malware móvel e do vazamento do código fonte associado, essa é uma possibilidade distinta."