Os pesquisadores da Kaspersky Lab descobriram uma nova modificação do conhecido cavalo de troia Faketoken, direcionado a sistemas bancários em dispositivos móveis, que foi aperfeiçoado para roubar credenciais de aplicativos de táxi populares.
Os pesquisadores da Kaspersky Lab descobriram uma nova modificação do conhecido cavalo de troia Faketoken, direcionado a sistemas bancários em dispositivos móveis, que foi aperfeiçoado para roubar credenciais de aplicativos de táxi populares.
O mercado de aplicativos móveis está crescendo e oferece cada vez mais serviços que armazenam dados financeiros confidenciais, incluindo aplicativos de serviços de táxi e de carona que exigem as informações de um cartão bancário do usuário. Por estarem instalados em milhões de dispositivos Android no mundo todo, esses aplicativos tornaram-se alvos atraentes para os cibercriminosos, que ampliaram significativamente as funcionalidades dos malwares para mobile banking.
A nova versão do Faketoken rastreia os aplicativos dinamicamente e, quando o usuário abre um determinado aplicativo, a tela é sobreposta por uma janela de phishing para roubar os dados do cartão bancário da vítima. O trojan tem uma interface idêntica, com os mesmos esquemas de cores e logotipos, que produz uma sobreposição instantânea e totalmente invisível. Segundo os resultados da pesquisa da Kaspersky Lab, os criminosos estão usando esse malware para atacar os serviços internacionais mais conhecidos de táxi e carona.
Além disso, o cavalo de Troia capta todas as mensagens SMS recebidas, redirecionando-as para seus servidores de comando e controle. Assim, os criminosos têm acesso às senhas únicas de confirmação enviadas pelo banco ou a outras mensagens enviadas pelos serviços de táxi e carona. Entre outras coisas, essa variante do Faketoken também é capaz de monitorar as chamadas do usuário, gravá-las e transmitir os dados para os servidores de comando e controle.
A sobreposição é uma função comum habilitada em vários aplicativos móveis. No ano passado, a Kaspersky Lab revelou uma modificação do Faketoken que atacava mais de 2.000 aplicativos financeiros em todo o mundo, disfarçada de diversos programas e jogos, muitas vezes imitando o Adobe Flash Player. Desde então, o Faketoken tem sido ainda mais aprimorado e tem expandido o alcance de suas atividades.
“O fato de os criminosos virtuais terem expandido suas atividades dos aplicativos financeiros para outras áreas, inclusive os serviços de táxi e carona, significa que os desenvolvedores desses serviços devem começar a prestar mais atenção à proteção de seus usuários. O setor bancário já conhece os esquemas e truques das fraudes e já reagiu, implementando tecnologias de segurança nos aplicativos. Isso reduziu significativamente o risco de roubo de dados financeiros críticos. Talvez seja hora de outros serviços que utilizam dados financeiros seguirem o exemplo. A nova versão do Faketoken visa principalmente os usuários russos. No entanto, a geografia dos ataques poderá ser ampliada facilmente no futuro. Vimos isso acontecer com versões anteriores do Faketoken e outros malwares direcionados a bancos”, disse Viktor Chebyshev, especialista em segurança da Kaspersky Lab.
Os pesquisadores também detectaram ataques do Faketoken em outros aplicativos móveis populares, por exemplo, de reserva de viagens e hotéis, de pagamento de multas de trânsito, no Android Pay e no Google Play Market.
Para se proteger do trojan Faketoken e de outras ameaças de malware no Android, a Kaspersky Lab recomenda que os usuários não instalem aplicativos de origem desconhecida e usem uma solução de segurança confiável, como o Kaspersky Mobile Antivirus: Web Security & AppLock em seus dispositivos.
Leia mais sobre a nova versão do malware para Android Faketoken em Securelist.com.
