- Especialistas alertam sobre malware executando aplicativos reais em ambientes virtuais falsos
- O padrinho ignora as verificações de segurança e sobrepõe telas falsas para roubar credenciais
- Votes de aplicativos bancários e criptográficos globalmente com técnicas quase invisíveis
O Zimperium Zlabs descobriu uma nova versão do malware do padrinho que usa a virtualização do dispositivo para sequestrar aplicativos reais bancários e criptomoedas.
Ao contrário dos ataques mais antigos que mostraram telas de login falsas, esse malware lança os aplicativos reais em um espaço virtual onde os invasores podem ver tudo o que o usuário faz.
O ataque começa com um aplicativo host que inclui uma ferramenta de virtualização – este aplicativo host baixar o aplicativo bancário ou criptografia segmentado e o executa em um ambiente privado.
Indo além de sobreposições simples
Quando os usuários abrem seu aplicativo, eles são redirecionados sem saber para a versão virtual. A partir daí, cada torneira, login e entrada de pinos é rastreada em tempo real.
Como o usuário está interagindo com um aplicativo real, é quase impossível identificar o ataque olhando para a tela.
O padrinho também usa truques postais e esconde grande parte de seu código de uma maneira que derrota a análise estática. Ele solicita permissões de acessibilidade e, em seguida, silenciosamente se concede mais acesso, tornando o ataque suave e difícil de detectar.
“Os atacantes móveis estão indo além das sobreposições simples; a virtualização lhes dá acesso irrestrito e ao vivo dentro de aplicativos confiáveis”. disse Fernando Ortega, pesquisador sênior de segurança, Zimperium Zlabs.
“As empresas precisam de detecção baseada em comportamento e proteção de aplicativos de tempo de execução para ficar à frente dessa mudança em direção a uma estratégia de ataque móvel.”
A análise de Zimperium mostra que esta versão do padrinho está focada nos bancos turcos, mas a campanha tem como alvo quase 500 aplicativos em todo o mundo. Isso inclui serviços financeiros, plataformas de criptomoeda, comércio eletrônico e aplicativos de mensagens.
O malware verifica aplicativos específicos no dispositivo, os clém no espaço virtual e usa a versão clonada para coletar dados e rastrear o comportamento do usuário.
Ele também pode roubar credenciais da tela de bloqueio do dispositivo usando sobreposições falsas que parecem instruções do sistema.
Os invasores podem controlar o telefone infectado remotamente usando um conjunto de comandos. Eles podem executar swipes, abrir aplicativos, alterar o brilho e simular ações do usuário.
Como ficar seguro
- Evite instalar aplicativos de fontes desconhecidas – sempre use lojas oficiais como o Google Play.
- Verifique as permissões do aplicativo com cuidado. Se um aplicativo solicitar acesso à acessibilidade ou permissões de sobreposição de tela sem um motivo claro, desinstale -o imediatamente.
- Mantenha o sistema operacional do seu telefone atualizado.
- Use ferramentas de segurança móvel de desenvolvedores confiáveis.
- Evite os arquivos APK lateral, mesmo que compartilhados por alguém que você conhece.
- A reinicialização do telefone regularmente pode ajudar a frustrar qualquer malware persistente.
- Preste atenção ao comportamento incomum, como mais rápido que o habitual dreno da bateria e sobreposições estranhas e inesperadas.
- Se o seu aplicativo bancário parecer diferente ou pedir login com mais frequência do que o normal, pare de usá -lo e entre em contato com o seu banco.
Fique conectado