Malware móvel Escobar tem como alvo 190 aplicativos bancários e financeiros, rouba códigos 2FA

Um novo malware móvel para Android chamado Escobar atingiu o mercado clandestino do crime cibernético. Leia mais sobre o assunto e veja como se proteger dessa ameaça.

O malware móvel está se tornando cada vez mais poderoso contra aplicativos bancários e financeiros, especialmente em sistemas operacionais Android. Agora, uma pesquisa da Cyble revela que uma nova versão do malware móvel Aberebot, apelidado de Escobar, foi lançada.

Uma versão desse malware foi encontrada à solta, representando a McAfee usando a marca no nome de arquivo McAfee9412.apk e também usando o logotipo da McAfee como isca (Figura A). Esse pedaço de código pode roubar quase tudo do telefone que infecta, incluindo códigos de autenticação múltipla do Google Authenticator.

Figura A

Um investimento caro para os cibercriminosos, ou assim parece

O Cyble Research Labs expôs uma oferta do desenvolvedor por trás do Escobar postada na dark web, mostrando que atualmente é possível alugá-lo por US $ 3.000 por mês – e uma vez que não será mais beta, aumentará para US $ 5.000 por mês. O desenvolvedor insiste no aspecto beta e na possibilidade de bugs, então eles estão alugando para apenas cinco clientes (Figura B).

Figura B

Este é um modelo de negócios interessante, pois o desenvolvedor pode fazer com que as pessoas tentem, executem e usem o malware e forneçam possíveis s de bugs, enquanto ainda ganham dinheiro com isso. Vendo o preço da versão beta, pode-se esperar que os clientes desse malware sejam cibercriminosos experientes que confiam em sua capacidade de monetizar o malware rapidamente.

O vetor de infecção não é exposto pelo desenvolvedor. Se ele estivesse disponível diretamente por meio de uma loja de aplicativos legítima, esperaríamos que o cibercriminoso escrevesse sobre isso, pois aumentaria o valor do malware. Cyble menciona que, de acordo com sua pesquisa, “esses tipos de malware são distribuídos apenas por outras fontes que não a Google Play Store”.

A versão anterior do malware, apelidada de Aberebot, apareceu pela primeira vez em meados de 2021 e já teve como alvo mais de 140 entidades financeiras em 18 países, mostrando que o desenvolvimento desse malware está ativo.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Funcionalidades do Escobar

Em uma nota interessante, o desenvolvedor escreve sobre isso: “O malware não funciona no Xiaomi MIUI 11 e superior, pois a interface do usuário não permite que serviços em segundo plano iniciem atividades (que é como as injeções funcionam)!”

Como mencionado, a versão de Escobar encontrada na natureza parece representar a McAfee (Figura C).

Figura C

O malware precisa de 25 permissões diferentes do usuário, das quais atualmente abusa de 14. Ele pode:

• Coletar a localização do dispositivo
• Colete dados de contato (números de telefone, endereços de e-mail)
• Colete SMS
• Envie SMSs para um número de telefone específico ou para todos os contatos
• Colete registros de chamadas
• Roubar logs de chave de aplicativo
• Roubar arquivos de mídia
• Gravar audio
• Use o visualizador VNC para controlar remotamente o dispositivo infectado
• Tirar fotos
• Injetar URLs
• Instalar/desinstalar outros aplicativos
• Roubar códigos do Google Authenticator
• Excluir a si mesmo

Todas as informações roubadas e coletadas são enviadas diretamente para um servidor de comando e controle.

Malware com orientação financeira

Como outros Trojans bancários, o Escobar sobrepõe formulários de falsos na tela do telefone para enganar o usuário e fazê-lo fornecer suas credenciais para aplicativos de e-banking ou outros sites de orientação financeira.

Um aspecto particular desse malware que o torna assustador é que ele também rouba códigos do Google Authenticator, o que abre novas possibilidades de fraude para o invasor que usa o malware e possibilita contornar o 2FA (autenticação de dois fatores).

Se o usuário do telefone usar o SMS ou o Google Authenticator como método 2FA, o invasor poderá ignorar ambos.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Como prevenir uma infecção por malware

Para se proteger de malware móvel, é importante:

• Instale aplicativos de segurança abrangentes em seu dispositivo para protegê-lo.
• Evite clicar em qualquer link que chegue no seu celular, não importa qual aplicativo ele use, se vier de uma fonte desconhecida.
• Evite aplicativos desconhecidos.
• Nunca baixe aplicativos de terceiros ou fontes não confiáveis.
• Verifique as permissões ao instalar qualquer aplicativo. Os aplicativos devem solicitar permissões apenas para as APIs necessárias. Seja extremamente cauteloso com aplicativos que solicitam privilégios de manipulação de SMS.
• Tenha muito cuidado com aplicativos que solicitam atualizações imediatamente após a instalação. Um aplicativo baixado da Play Store deve ser a versão mais recente. Se o aplicativo solicitar permissão de atualização na primeira execução, imediatamente após a instalação, é suspeito e pode ser um sinal de malware tentando baixar mais funcionalidades.
• Ative 2FA. Se possível, use o Google Authenticator ou SMS em outro dispositivo que não o usado para qualquer ação financeira. Esse dispositivo precisa estar protegido contra malware. Dessa forma, mesmo com as credenciais roubadas em mãos, um invasor não poderá ignorar a solicitação 2FA.