Golpe digital

Recrutadores falsos espalham trojan bancário em apps maliciosos

Campanha de phishing sofisticada usa falsos recrutadores e aplicativos maliciosos para distribuir uma versão atualizada do trojan bancário Antidot, visando roubar dados financeiros e pessoais de usuários Android.

Recrutadores falsos espalham trojan bancário em apps maliciosos

Pesquisadores de segurança cibernética alertaram sobre uma campanha de phishing móvel sofisticada que distribui uma versão atualizada do trojan bancário Antidot. Apelidado de AppLite Banker, o malware foca em dispositivos Android, permitindo que criminosos obtenham senhas, desbloqueios de tela e até mesmo controle remoto dos aparelhos infectados.

Golpe de phishing com falsos recrutadores distribui malware perigoso

De acordo com o especialista Vishnu Pratapagiri, da Zimperium zLabs, os golpistas se apresentam como recrutadores oferecendo vagas de emprego atraentes. Durante o suposto processo seletivo, os alvos são induzidos a baixar um aplicativo malicioso. Esse app atua como um “dropper”, instalando discretamente o trojan no dispositivo da vítima.

Como funciona o golpe?

Os cibercriminosos utilizam e-mails de empresas fictícias, como a canadense “Teximus Technologies”, para atrair vítimas com promessas de cargos remotos com salário competitivo, chegando a US$ 25 por hora e boas oportunidades de crescimento profissional.

Se o destinatário demonstrar interesse, ele é redirecionado a uma página de phishing para baixar um aplicativo Android falso, que se passa por uma ferramenta de gestão de relacionamento entre cliente e funcionário (CRM).

Trojan bancário
Imagem: The Hacker News

Esse aplicativo inicial emprega táticas como manipulação de arquivos ZIP para driblar análises de segurança. Após instalar o app, os usuários são instruídos a realizar uma “atualização” para proteger seus dispositivos, permitindo a instalação de apps de fontes externas. Esse passo ativa o malware principal, simulando uma interface do Google Play Store para enganar a vítima.

Recursos avançados do malware

O AppLite Banker possui funcionalidades sofisticadas, como:

  • Controle do dispositivo: Acesso remoto ao bloqueio de tela (PIN, senha ou padrão) e interação com configurações.
  • Roubo de credenciais: Sobreposição de telas para capturar senhas de contas do Google.
  • Furtividade: Esconde mensagens SMS e bloqueia chamadas de determinados números.
  • Fraude bancária: Exibe páginas de login falsas para 172 bancos, carteiras de criptomoedas e redes sociais, como Facebook e Telegram.

Além disso, o trojan possibilita o uso de keylogging, redirecionamento de chamadas, roubo de SMS e interação via Virtual Network Computing (VNC), oferecendo aos atacantes controle total sobre os dispositivos comprometidos.

Quem são os alvos?

A campanha de phishing foca em usuários de idiomas como inglês, espanhol, francês, alemão, italiano, português e russo. Isso indica uma operação global, com grande alcance e potencial de impacto financeiro e pessoal.

Medidas de proteção

Devido à capacidade avançada do trojan e seu controle extensivo, é fundamental que os usuários adotem medidas de segurança robustas para evitar perdas financeiras e de dados. Algumas recomendações incluem:

  • Evitar baixar aplicativos fora da Google Play Store.
  • Verificar a autenticidade de e-mails ou ofertas de emprego recebidas.
  • Manter aplicativos de segurança atualizados nos dispositivos móveis.

Este caso ocorre em paralelo a outra campanha de malware identificada pela Cyfirma, que revelou ataques na Ásia do Sul envolvendo o trojan SpyNote. Assim como o AppLite, o SpyNote é disponibilizado em fóruns e canais clandestinos, sendo usado por agentes maliciosos para atingir alvos de alto perfil.

Proteger seus dispositivos contra essas ameaças é essencial, especialmente diante de campanhas cada vez mais elaboradas.