in

Trojan bancário Cerberus se infiltra na Google Play

O malware foi encontrado escondido em um conversor de moeda aparentemente inocente.

Trojan bancário Cerberus se infiltra no Google Play

Pesquisadores de segurança descobriram que o Trojan bancário Cerberus se infiltra disfarçado de aplicativo de moeda legítimo na loja Google Play. A equipe de segurança cibernética da Avast disse que o aplicativo malicioso em questão se apresentava como um aplicativo legítimo de conversão de moeda projetado para usuários espanhóis.

No total, o software “Calculadora de Moneda” foi baixado mais de 10.000 vezes. Assim, nossos dispositivos móveis, incluindo smartphones e tablets, estão em risco. Isso porque eles são produtos-chave usados não apenas para comunicação com amigos e familiares, mas também para entretenimento, trabalho e como porta de entrada para nossas contas financeiras.

Como resultado, o malware móvel se tornou uma ameaça comum hoje. Para tentar manter aplicativos mal-intencionados fora de nossos dispositivos, fornecedores como Google e Apple estabeleceram rigorosas medidas de segurança para software hospedado em seus repositórios oficiais e confiáveis. Às vezes, porém, as ameaças ainda conseguem escapar da rede.

Trojan bancário Cerberus se infiltra no Google Play

Trojan bancário Cerberus se infiltra na Google Play
Threat of Trojan Virus

O aplicativo mal-intencionado ultrapassou as barreiras de segurança do Google, apresentando-se e agindo como um aplicativo legítimo nas primeiras semanas após ser aceito no Google Play. Parece que quando os usuários começaram a baixar o aplicativo em março, o software, a princípio, não causou nenhum dano e realmente agiu como um utilitário legítimo.

No entanto, após ganhar confiança na crescente base de usuários, o aplicativo acionou um código inativo que se tornou um estopim para o Trojan Cerberus. O código que conectou a Calculadora de Moneda a um servidor de comando e controle (C2) foi ativado várias semanas depois, comandando o aplicativo para baixar um APK (Pacote de aplicativos) adicional para dispositivos Android.

Uma vez executado, o APK instalou o Cerberus, um Trojan relativamente novo que está em circulação desde junho de 2019. O malware cria uma sobreposição nos aplicativos bancários e financeiros existentes. O Cerberus se esconde em segundo plano, aguardando que o usuário insira suas credenciais de conta. Assim, rouba as informações e as envia ao C2 do invasor.

Ataque sofisticado

A Avast observou que o malware é sofisticado o suficiente para ler suas mensagens de texto. Elas geralmente usadas para fornecer códigos de acesso únicos (OTP) e também obter detalhes da autenticação de dois fatores (2FA). Essas medidas de segurança visam proteger ainda mais acessos bancários on-line, mas o Cerberus pode contornar esses controles.

Os pesquisadores do ThreatFabric que examinam cepas do Cerberus disseram que esses recursos podem ser usados para roubar OTPs gerados pelo Google Authenticator, projetado como uma alternativa aos códigos de acesso 2FA baseados em SMS. 

Na segunda-feira, os pesquisadores da Avast observaram que, à noite, o servidor C2 desapareceu e o Cerberus desapareceu do aplicativo de conversão de moeda. Isso não significa, no entanto, que o aplicativo ainda não deva ser considerado malicioso – e uma ameaça.

Embora esse período tenha sido apenas um curto período, é frequentemente usado por fraudadores táticos para ocultar a proteção e a detecção, ou seja, limitando a janela de tempo em que a atividade maliciosa pode ser descoberta, diz a Avast.

O Google foi informado das descobertas do pesquisador. No entantoainda não se posicionou a respeito.

ZDNet

Escrito por Claylson Martins

Jornalista com pós graduações em Economia, Jornalismo Digital e Radiodifusão.