Você está com pressa, tentando chegar ao trabalho, uma reunião de negócios, um encontro. Então decide usar seu app de táxi favorito como sempre, mas dessa vez, algo parece diferente: suas informações de cartão de crédito estão sendo solicitadas. Suspeito? Talvez não – aplicativos esquecem informações às vezes, e tudo que você tem que fazer é adicioná-las e esperar o taxista.
Contudo, depois de um tempo, percebe que dinheiro tem sumindo da sua conta. O que aconteceu? Você pode ter sido premiado com um mobile Trojan. Esse tipo de malware foi usado recentemente para roubar dados bancário por meio da sobreposição de aplicativos para solicitar táxi.
O Faketoken Trojan já existe há bastante tempo, e foi atualizado ao longo dos anos. Nossos especialistas batizaram a atual versão de “Faketoken.q” e no momento ele sabe diversos truques.
A partir do momento que entra em um smartphone (julgando pelo ícone do malware, o Faketoken entra no smartphone por meio de mensagens de SMS para baixar alguma foto) e instalar os módulos necessários, o Trojan esconde seu atalho e inicia suas atividades em segundo plano.
Primeiro, o Trojan está interessado nas ligações do usuário. Logo que uma é iniciada, a gravação começa. Quando a chamada termina, o Faketoken encaminha o arquivo de áudio para o servidor do criminoso. Ele também verifica quais apps o dono do smartphone usa.
Quando o Faketoken detecta o lançamento de um aplicativo cuja interface consegue imitar, ele a sobrepõe imediatamente. Para isso, utiliza as funções padrões do Android que permitem a exibição de telas sobre os outros apps. Diversos apps legítimos, como messengers e gestores de abas usam essa função.
A janela sobreposta utiliza a mesma cor da interface do aplicativo de verdade. Nessa janela, o Trojan faz o usuário inserir seu número de cartão de crédito, incluindo o código de verificação.
Na verdade, o Faketoken.q segue uma variedade gigantesca de apps que possui uma coisa em comum: nesses, uma requisição de inserção de dados de pagamento não parecem coisa de outro mundo. Entre os aplicativos atacados estão diversos bancários: Android Pay, o Google Play Store, reserva de voos e hotéis e pagamento de tickets de estacionamento – bem como para reservar táxis.
No momento do roubo do dinheiro do usuário, o Faketoken ainda tem mais subterfúgio: intercepta as mensagens SMS, escondendo-as do usuário. O vírus as encaminha para o servidor do criminoso, das quais senhas de confirmação de transação de uso único são extraídas.
A julgar pelo pequeno número de ataques registrados e os artefatos de UI, diríamos que os pesquisadores de nosso laboratório colocaram as mãos em uma versão de teste do Trojan, não a final.
Não podemos subestimar os criadores assíduos do Faketoken. Muito provavelmente irão melhorar o Trojan, e uma onda de ataques pode resultar da versão “comercial” do vírus em algum momento.
No momento, o Trojan tem por foco a Rússia, mas não seria a primeira vez que cibercriminosos roubam ideias uns dos outros, por isso, não há de demorar para que outros adotem o mesmo truque em outros países. Diversos habitantes de cidades utilizam aplicativos para chamar táxis com frequência, de modo que o truque representa uma excelente oportunidade aos criadores de malware.
Abaixo temos diversas dicas para você se proteger do Faketoken e Trojans similares que podem roubar informações de cartão de crédito e interceptar mensagens de SMS com senhas de uso único para a confirmação de pagamentos.
- Para isso, é imprescindível acessar as configurações do Android e proíba a instalação de aplicativos de fontes desconhecidas. Para bloquear, vá em Configurar -> Segurança e desmarque Fontes Desconhecidas.
- Sempre preste atenção nas permissões de acesso que um aplicativo demanda durante sua instalação, mesmo que tenha o baixado da Google Play (podem existir Trojans nas lojas de oficiais). Você pode ler mais sobre isso nesse artigo.
- Também é uma boa ideia proteger seu smartphone instalando um antivírus, capaz de encontrar infecções em aplicativos escondidos. Por exemplo, você pode usar nosso Kaspersky Internet Security para Android que pode ser baixado da Google Play de graça.