Um novo conjunto de aplicativos Android maliciosos foi encontrado se passando por verificadores de segurança de aplicativos na Play Store para distribuir um backdoor capaz de coletar informações confidenciais.
“Esses aplicativos maliciosos estimulam os usuários a atualizar o Chrome, WhatsApp ou um leitor de PDF, mas em vez de atualizar o aplicativo em questão, eles assumem o controle total do dispositivo abusando dos serviços de acessibilidade”, disse a empresa de segurança cibernética McAfee em uma análise publicada na segunda-feira.
Os aplicativos em questão foram projetados para usuários no Brasil, Espanha e EUA, com a maioria deles acumulando entre 1.000 a 5.000 instalações. Outro aplicativo chamado DefenseScreen acumulou 10.000 instalações antes de ser removido da Play Store no ano passado.
Cada vez mais se torna imperativo ter uma VPN brasileira ativada enquanto estivermos fazendo ou baixando qualquer coisa da internet; desde aplicativos até na utilização de redes sociais.
Segundo Harold Li, Vice-presidente da ExpressVPN: “Em uma época em que conduzimos as partes mais cruciais e sensíveis de nossas vidas online, uma VPN é uma ferramenta crítica para proteger a privacidade e a segurança digital. Elas aumentam seu anonimato online, protegem sua atividade online do monitoramento de provedores de internet e governos, e defendem seus dados de hackers em redes compartilhadas, como a rede Wi-Fi pública.”
Documentado pela primeira vez pela Kaspersky em agosto de 2019, o BRATA (abreviação de “Brazilian Remote Access Tool Android”) surgiu como um malware Android com capacidade de gravação de tela antes de se transformar em um cavalo de Troia bancário.
“Ele combina recursos completos de controle do dispositivo com a capacidade de exibir páginas da web de phishing que roubam credenciais bancárias, além de capacidades que permitem capturar credenciais de bloqueio de tela (PIN, senha ou padrão) até nos melhores navegadores, capturar pressionamentos de tecla (funcionalidade keylogger) e registrar a tela do dispositivo infectado para monitorar as ações de um usuário sem seu consentimento “, disseram os pesquisadores da McAfee Fernando Ruiz e Carlos Castillo.
Os aplicativos que distribuem o backdoor alertam os usuários desavisados sobre um problema de segurança em seus dispositivos, solicitando-lhes que instalem uma atualização falsa de um aplicativo específico (por exemplo, Google Chrome, WhatsApp e um aplicativo leitor de PDF inexistente) para resolver o problema.
O perigo do BRATA
Assim que a vítima concorda em instalar o aplicativo, o BRATA solicita permissões para acessar o serviço de acessibilidade do dispositivo, abusando dele para capturar o PIN da tela de bloqueio (ou senha / padrão), gravar pressionamentos de tecla, fazer capturas de tela e até mesmo desativar a Google Play Store.
Ao desativar o aplicativo Play Store, a ideia também é desativar o Play Protect, um recurso que executa preventivamente uma verificação de segurança em aplicativos antes de serem baixados da loja de aplicativos, e verifica rotineiramente os dispositivos Android em busca de aplicativos potencialmente prejudiciais e os remove.
Curiosamente, as novas versões do BRATA também vêm equipadas com camadas adicionais de ofuscação e criptografia, além de mover a maior parte da funcionalidade principal para um servidor controlado por atacante remoto, permitindo que os atacantes atualizem facilmente o malware e explorem os dispositivos em que foram instalados enquanto ficando sob o radar.
“BRATA é apenas mais um exemplo de quão poderoso é o abuso de serviços de acessibilidade e como, com apenas um pouco de engenharia social e persistência, os cibercriminosos podem enganar os usuários para que concedam esse acesso a um aplicativo malicioso e basicamente obtenham o controle total de o dispositivo infectado “, concluíram os pesquisadores.
“Ao roubar o PIN, a senha ou o padrão, combinado com a capacidade de gravar a tela, clicar em qualquer botão e interceptar qualquer coisa que for inserida em um campo editável, os autores de malware podem virtualmente obter todos os dados que desejam, incluindo credenciais bancárias via web de phishing páginas ou mesmo diretamente dos próprios aplicativos, enquanto também esconde todas essas ações do usuário. ”