Trojan bancário: os 10 principais visam aplicativos com 1 bilhão de downloads

Os dez principais trojans bancários móveis para Android visam 639 apps financeiros, que em conjunto, somam mais de 1 bilhão de downloads no repositório Play Store, do Google, segundo o relatório da Zimperium.

As ameaças costumam se camuflar em aplicativos aparentemente benignos, como ferramentas de produtividade, e entram furtivamente em lojas oficiais do Google. Uma vez que um dispositivo é infectado, o malware sobrepõe páginas de login por cima das telas exibidas por apps bancários e financeiros legítimos para furtar credenciais de contas, monitorar notificações OTPs (mensagens de texto com senha de uso único) e até mesmo abusar de serviços de Acessibilidade para realizar fraudes financeiras para realizar ações como outro usuário.

Pelo número de instituições visadas e da funcionalidade que os diferencia dos demais, esses trojans assumiram um lugar único no mercado, de acordo com o relatório da Zimperium.

A constatação é preocupante, visto que 79% dos brasileiros usam aplicativos de bancos para transações financeiras, segundo uma pesquisa da Ipsos/TecBan de 2021 com abrangência nacional. Em outros países, como Estados Unidos, a proporção de usuários também é grande: três em cada quatro dos entrevistados usam aplicativos para realizar atividades bancárias.

Imagem: Zimperium

Entre os países que encabeçam a lista de países mais visados, está os EUA, com 121 aplicações específicas. O próximo da lista é o Reino Unido, com 55 aplicações, Itália com 43, Turquia com 34, Austrália com 33, e 31 visando usuários na França.

Entre os trojans mais populares,  o Teabot lidera — entre 639 rastreados, 410 foram infectados pelo malware; o Exobot ocupa o segundo lugar, encontrado em 324 aplicações.

Entre as aplicações com mais downloads, a pesquisa apontou o PhonePe, muito popular na Índia, com 100 milhões transferências na Play Store. Em seguida, dois aplicativos de instituições financeiras disputam o segundo com 50 milhões de instalações: o Binance, aplicativo de transações com moedas criptográficas, e o Cash App, serviço de pagamento móvel que atua nos Estados Unidos e Reino Unido. Embora esses dois últimos citados não ofereçam serviços bancários tradicionais, eles são alvo de trojans bancários.

Imagem: Wk1003mike/Shutterstock

Entre a aplicação mais visada — alvo de sete dos dez trojans bancários mais ativos —, foi identificado o BBVA, um portal online global de bancos, que reúne dezenas de milhões de downloads.

No relatório, a Zimperium listou os trojans bancários mais ativos do primeiro trimestre do ano de 2022.

• BianLian – Visa o Binance, BBVA, e uma gama de aplicações turcas. Uma nova versão do trojan descoberta em abril apresenta o fotoTAN bypassing, que é considerado um método de autenticação forte em bancos online.
• Cabassous – Visa aplicativos do Barclays, CommBank, Halifax, Lloys, e Santander. Utiliza algoritmo de geração de domínio (DGA) para fugir da detecção e dos takedowns.
• Coper – Visa aplicativos do BBVA, Caixa Bank, CommBank, e Santander. Ele monitora ativamente a ‘lista de permissão’ da bateria do dispositivo e o modifica para isentar-se de restrições.
• EventBot – Tem como alvos o Barclays, Intensa, BancoPosta, e várias outras aplicações italianas. Ele se camufla como Microsoft Word ou Adobe Flash, e pode baixar novos módulos de malware de fontes remotas.
• Exobot – Tem como alvos o PayPal, Binance, Cash App, Barclays, BBVA, e Caixa Bank, além do Itaú Unibanco. É muito pequeno e leve porque utiliza bibliotecas de sistemas compartilhados e busca sobreposições do C2 somente quando necessário.
• FluBot – Visa o BBVA, Caixa, Santander, e vários outros aplicativos em espanhol. O trojan foi notório pela rápida distribuição usando SMS e listas de contatos de dispositivos comprometidos.
• Medusa – Visa o BBVA, CaixaBank, Ziraat, e uma gama de aplicações bancárias turcas. Pode realizar fraudes no dispositivo, abusando do serviço de acessibilidade para agir como um usuário normal em nome da vítima.
• Sharkbot – Visa o Binance, BBVA, e Coinbase. Possui um rico conjunto de recursos de evasão de detecção e antideleção, assim como uma forte criptografia de comunicação C2.
• Teabot – Visa o PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile, e Coinbase, além da OKX. Possui um keylogger especial para cada aplicativo, e carrega-o quando o usuário o executa.
• Xenomorph – Tem como alvo o BBVA e vários aplicativos bancários baseados na UE. Ele também pode servir como dropper para buscar malware adicional no dispositivo comprometido.

As características de cada malware deixa exposta que cada uma das dez ameaças mantém o próprio escopo focada no alvo, dando aos operadores capacidade de optarem por ferramentas que se adaptem ao público-alvo.

Imagem: Suttipun/Shutterstock.com

Para se proteger, continuam valendo as dicas básicas:

• Mantenha o dispositivo atualizado;
• Instale apenas aplicativos de lojas oficiais;
• Visite o site do desenvolvedor;
• Mantenha o mínimo de aplicativos instalados no dispositivo;
• Verifique os reviews e comentários da loja e fóruns sobre o aplicativo.

Via BleepingComputer