Uma investigação revela uma nova campanha fraudulenta que envolve quase 250 aplicações maliciosas para Android. As apps faziam-se passar por jogos populares, como o Minecraft ou o Grand Theft Auto, e por várias redes sociais e plataformas de mensagens, incluindo TikTok, Threads e Messenger.
De acordo com os investigadores da Zimperium, empresa de cibersegurança norte-americana líder global em protecção de dispositivos móveis e aplicações, ao serem descarregadas, as aplicações inscreviam as vítimas em serviços de subscrição, cobrando quantias avultadas sem que se apercebessem.
A campanha, identificada pela primeira vez em Março do ano passado, recorria a técnicas avançadas para evitar a detecção, bem como para automatizar as subscrições, monitorizar a implementação dos esquemas fraudulentos e roubar dados.
Os especialistas da empresa de cibersegurança detalham que a campanha permaneceu activa até meados de Janeiro deste ano, visando sobretudo países como a Malásia, a Tailândia, a Roménia e a Croácia.
No entanto, até Maio, partes da infra-estrutura fraudulenta ainda estavam operacionais. Os atacantes recorreram a três variantes de malware para atacar os equipamentos das vítimas.
A campanha, identificada pela primeira vez em Março do ano passado, recorria a técnicas avançadas para evitar a detecção, bem como para automatizar as subscrições, monitorizar a implementação dos esquemas fraudulentos e roubar dados
A primeira, descrita como a mais sofisticada do conjunto, fazia uso de um motor automatizado de subscrições, analisando primeiro o cartão SIM do smartphone para visar utilizadores de determinadas operadoras. Caso o cartão SIM não fosse de alguma das operadoras em questão, era apresentada uma página online inofensiva para não levantar suspeitas.
Por outro lado, se fosse de uma das operadoras visadas, o esquema recorria a uma táctica de engenharia social para levar as vítimas a pensar que estavam a autenticar-se numa conta de gaming. Esta versão abusava também de uma API de SMS da Google, concebida para ler automaticamente mensagens com credenciais de uso único.
A segunda versão do malware recorria a um ataque em múltiplas fases, que combinava SMS fraudulentas com páginas web aparentemente legítimas, com os atacantes a usarem técnicas avançadas de roubo de cookies para manter sessões autenticadas.
Já a terceira versão combinava as SMS fraudulentas das anteriores com notificações para os atacantes através do Telegram, permitindo acompanhar em tempo real quantos smartphones tinham sido infectados.
Embora as aplicações envolvidas na campanha tenham sido desenvolvidas para smartphones Android, a Google afirma que não faziam parte da sua loja digital. Em declarações ao portal Dark Reading, um porta-voz da tecnológica indicou que, com base em análises recentes, nenhuma das aplicações que contêm este malware pode ser encontrada na Play Store.
A empresa indica também que os utilizadores de smartphones Android estão “automaticamente protegidos contra versões conhecidas deste malware através do Google Play Protect”.
Fonte: Sapo
