A segurança dos smartphones Android está sob ameaça novamente com a descoberta de novos trojans para Android capazes de roubar dinheiro, dados bancários e informações pessoais de forma silenciosa. Entre eles estão o BankBot-YNRK e o DeliveryRAT, dois malwares sofisticados que se aproveitam de permissões críticas do sistema para ganhar controle completo do dispositivo. Paralelamente, pesquisadores descobriram um golpe que utiliza a tecnologia NFC para interceptar dados de pagamento, com vítimas confirmadas também no Brasil.
Esse artigo explica em detalhes como esses vírus para Android funcionam, quem são seus alvos e, principalmente, o que você pode fazer para se proteger. Mesmo com avanços significativos na segurança do Android 14, criminosos seguem explorando falhas de comportamento e engenharia social para enganar usuários.
BankBot-YNRK: o trojan que abusa da acessibilidade
O BankBot-YNRK, analisado pela empresa CYFIRMA, é um novo trojan bancário Android que se disfarça de aplicativos legítimos. Um dos principais alvos de disseminação é o app governamental indonésio Identitas Kependudukan Digital, usado para identificação digital de cidadãos.
Táticas de evasão e silenciamento
Esse malware verifica se está sendo executado em um ambiente virtualizado ou monitorado por pesquisadores. Ele também identifica dispositivos de marcas populares como Oppo, Google Pixel e Samsung para decidir se deve continuar a execução.
Para dificultar a detecção por parte da vítima, o BankBot-YNRK executa ações como zerar o volume do dispositivo, incluindo sons de toque e notificações, evitando que o usuário perceba atividades suspeitas durante a invasão.
O golpe dos serviços de acessibilidade
O principal objetivo do BankBot-YNRK é convencer o usuário a ativar os serviços de acessibilidade, exibindo mensagens com comandos como “OPEN_ACCESSIBILITY”.
Com essa permissão, o trojan ganha acesso total para:
- Ler e enviar SMS, incluindo códigos de autenticação em dois fatores (2FA).
- Acessar contatos, localização, área de transferência e até abrir a câmera para tirar fotos.
- Manipular a interface para inserir dados em apps de bancos e carteiras de criptomoedas.
- Espionar 62 aplicativos financeiros específicos, monitorando teclas digitadas e tela do usuário.
A boa notícia: Android 14 está mais seguro
O Android 14 trouxe uma camada essencial de proteção: aplicativos não podem mais utilizar a acessibilidade para conceder outras permissões automaticamente. Agora, o usuário deve aprovar manualmente cada permissão sensível, o que dificulta a automação usada por trojans como o BankBot-YNRK.
DeliveryRAT: o malware como serviço (MaaS)
Outro alerta vem do DeliveryRAT, identificado por pesquisadores da empresa F6. Esse trojan é distribuído no modelo Malware-as-a-Service (MaaS), onde criminosos pagam para usar a infraestrutura do malware.
Distribuição via Telegram e disfarces
Os operadores utilizam um bot no Telegram, conhecido como Bonvi Team, para enviar arquivos APK infectados a possíveis vítimas. Os disfarces mais comuns incluem:
- Aplicativos falsos de entrega de comida;
- Apps de marketplaces populares;
- Serviços bancários simulados.
Roubo de dados e ataques DDoS
Ao ser instalado, o DeliveryRAT pede acesso à:
- Leitura de notificações, para capturar mensagens de SMS (especialmente códigos 2FA);
- Permissão para ignorar otimização de bateria, garantindo execução constante em segundo plano.
Com isso, o malware consegue roubar registros de chamadas, mensagens, contatos e até realizar ataques DDoS em massa a partir dos smartphones infectados.
Alerta Brasil: golpe usa NFC para roubar dados de pagamento
Além dos trojans tradicionais, a empresa de segurança Zimperium identificou uma campanha global envolvendo NFC (Near Field Communication), também conhecida como tecnologia de pagamento por aproximação.
Mais de 760 aplicativos maliciosos foram detectados desde abril de 2024 explorando esse recurso, incluindo casos que atingem diretamente usuários no Brasil.
Como funciona o roubo por HCE
Os criminosos criam aplicativos falsos que se passam por bancos ou carteiras digitais e induzem o usuário a defini-los como aplicativo de pagamento padrão no Android.
Esses apps exploram a tecnologia HCE (Host Card Emulation) para:
- Interceptar os dados do cartão durante pagamentos por aproximação;
- Capturar informações como número do cartão, validade e token de pagamento;
- Enviar esses dados instantaneamente via Telegram para serem clonados em terminais de Ponto de Venda (PDV).
Bancos brasileiros na mira
Embora muitos alvos sejam usuários na Rússia, o relatório aponta que instituições financeiras brasileiras, polonesas e europeias também estão sendo atacadas, mostrando que o risco é real no país.
Como se proteger desses novos trojans para Android
Os Trojans para Android mostram que o principal alvo continua sendo a confiança do usuário e o mau uso de permissões críticas do sistema. Veja como reduzir os riscos:
- Desconfie de permissões estranhas: nunca conceda acesso aos serviços de acessibilidade ou notificações para apps que não tenham justificativa clara.
- Mantenha o Android atualizado: recursos como os do Android 14 são essenciais para bloquear ataques.
- Instale apps apenas da Google Play Store ou lojas oficiais de fabricantes.
- Verifique o aplicativo padrão de pagamento por NFC: acesse as configurações do Android em “Tocar e pagar” e confira se o app definido é confiável.
- Use antivírus confiáveis e ative a Google Play Protect.
- Evite baixar APKs enviados por WhatsApp, Telegram ou sites desconhecidos.
