Pesquisadores da ESET, uma empresa líder em detecção proativa de ameaças, identificaram três aplicativos maliciosos usados para roubar credenciais bancárias de clientes de oito bancos da Malásia. Eles alertam como é a metodologia do engano e a importância de ser avisado caso essa técnica seja replicada globalmente.
No primeiro trimestre de 2021, o smartphones representaram 69% de todas as visitas a sites de varejo em todo o mundo, e as compras de smartphones representaram 57% de todas as compras online. Um aspecto notável da compra de bens e serviços por meio de um dispositivo móvel é que 53% dos usuários de smartphones fazer compras de aplicativos específicos do fornecedor.
ESET alerta para cibercriminosos enganando compradores ansiosos para baixar aplicativos maliciosos. Em uma campanha em andamento direcionada a clientes de oito bancos da Malásia, os agentes de ameaças estão tentando roubar credenciais bancárias usando sites falsos que se apresentam como serviços legítimos, às vezes copiando diretamente o design do site original. Esses sites usam nomes de domínio semelhantes aos de serviços oficiais para ter mais chances de passar despercebido aos olhos de potenciais vítimas.
“Embora a campanha tenha como alvo apenas a Malásia por enquanto, ela pode se expandir para outros países e bancos. Os invasores estão procurando credenciais bancárias agora, mas também podem adicionar roubo de informações de cartão de crédito no futuro.”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa ESET Latin America.
Esta campanha foi identificada pela primeira vez no final de 2021, apresentando-se como o legítimo serviço de limpeza Maid4u. Distribuído através de anúncios Facebooka campanha busca convencer as vítimas em potencial a baixar malware para Android de um site malicioso. No momento da comunicação da ESET, a campanha maliciosa ainda estava em andamento, com ainda mais domínios registrados para distribuição após sua descoberta. Em janeiro de 2022, o MalwareHunterTeam compartilhou informações sobre três outros sites maliciosos e Trojans Android atribuídos a esta campanha.
Além disso, os pesquisadores da ESET encontraram outros quatro sites falsos. Todos os sete sites estavam se passando por serviços que só estão disponíveis na Malásia: seis deles oferecem serviços de limpeza, como Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy e MaidACall, enquanto o sétimo é uma loja de animais chamada PetsMore.
Esses sites falsos não oferecem a opção de compra diretamente por meio deles. Em vez disso, eles incluem botões para supostamente baixar aplicativos do Google Play. No entanto, clicar nesses botões não leva à loja oficial do Google Play, mas aos servidores controlados pelos agentes de ameaças. “Para ser bem-sucedido, esse ataque exige que as vítimas ativem a opção “Instalar aplicativos desconhecidos” em seus dispositivos, que está desativada por padrão. Vale ressaltar que cinco das sete versões legítimas desses serviços nem sequer possuem um aplicativo disponível no Google Play.”, acrescenta o pesquisador da ESET.
Para parecerem legítimos, os aplicativos solicitam que os usuários façam login assim que forem abertos; no entanto, não há validação de conta do lado do servidor: o software recebe qualquer entrada do usuário e sempre a declara correta. Mantendo a aparência de uma verdadeira loja online, as aplicações maliciosas pretendem oferecer produtos e serviços para compra utilizando uma interface semelhante à das lojas originais.. Quando chega a hora de pagar a compra, as vítimas têm duas opções de pagamento: podem pagar com cartão de crédito ou por transferência bancária.
O objetivo dos invasores é obter as credenciais bancárias de suas vítimas. Depois de escolher a opção de transferência direta, as vítimas são apresentadas a uma página de pagamento FPX falsa e são solicitadas a escolher um banco entre oito opções bancárias da Malásia e, em seguida, inserir suas credenciais. Os bancos visados por esta campanha maliciosa são Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia e Hong Leong Bank.
Depois que as vítimas enviam suas credenciais bancárias, elas recebem uma mensagem de erro informando que o nome de usuário ou a senha fornecidos são inválidos. Neste ponto, as credenciais inseridas já foram enviadas para os operadores de malware.
Para garantir que os operadores por trás dessa campanha possam acessar as contas bancárias de suas vítimas, os aplicativos da loja virtual falsa também encaminham todas as mensagens SMS que a vítima recebe para os invasores, caso alguma dessas mensagens contenha o código. (2FA) enviado pelo banco.
De acordo com a equipe de pesquisa da ESET, até agora esta campanha de malware tem como alvo apenas a Malásia: tanto as lojas online cuja identidade se passa, bem como os bancos visados pelo roubo de credenciais de clientes, são deste país e os preços dos aplicativos são exibidos na moeda local, o Ringgit da Malásia.
Para se proteger contra esse tipo de ameaça, a ESET compartilha o seguinte conselho:
A primeira coisa é certificar-se ao comprar que você está usando sites legítimos:
Além de verificar se um site falso não está sendo usado, eles fornecem recomendações úteis para desfrutar de uma experiência de compra online mais segura a partir de um smartphone:
Para saber mais sobre segurança informática, visite o portal de notícias da ESET: https://www.welivesecurity.com/la-es/2022/04/04/como-dark-web-esta-migrando-a-redes-sociales/
Por outro lado, a ESET convida você a conhecer Conexão segura, seu podcast para saber o que está acontecendo no mundo da segurança informática. Para ouvir acesse: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
