.
O grupo Infosec, com sede em Cingapura, Group-IB, divulgou na quinta-feira detalhes de um novo trojan Android que explora os recursos de acessibilidade do sistema operacional para roubar informações que permitem o roubo de informações pessoais.
O equipamento de pesquisa de segurança escreveu que o trojan, chamado GoldDigger, atualmente tem como alvo aplicativos bancários vietnamitas – mas inclui código que sugere que seus desenvolvedores planejam ataques mais amplos. Entre junho de 2023, quando avistou o GoldDigger, e o final de agosto, o Grupo-IB identificado 51 aplicativos de organizações financeiras visados pelo trojan. O formulário de segurança não tem certeza de quantos dispositivos foram infectados ou quanto dinheiro foi roubado.
O malware chega aos dispositivos depois que os usuários visitam sites falsos que os manipulam para baixar o aplicativo. Uma vez instalado, o GoldDigger solicita acesso ao Serviço de Acessibilidade do Android – o recurso projetado para ajudar usuários com deficiência, permitindo que aplicativos interajam entre si e modifiquem a interface do usuário.
A permissão para usar o Serviço de Acessibilidade significa que o GoldDigger pode monitorar e manipular as funções de um dispositivo e visualizar informações pessoais, como credenciais de aplicativos bancários e o conteúdo de mensagens SMS, e enviar essas informações para servidores de comando e controle. Um trecho de código encontrado pelos pesquisadores sugere que o malware tenta contornar a autenticação de dois fatores e foi projetado para enganar os aplicativos bancários, dizendo que estão fazendo transações legítimas.
“Não confirmamos se os operadores de Trojan usam esses recursos no momento em que este artigo foi escrito. No entanto, com base no comportamento de outros Trojans conhecidos semelhantes ao GoldDigger, não achamos que eles difiram significativamente”, explicou o Group-IB.
“Estamos definitivamente observando um aumento significativo nas cepas de malware Android que abusam do Serviço de Acessibilidade. Para as tendências de malware Android, há uma mudança notável no uso tradicional de falsificações da web”, disse Sharmine Low, analista de malware do Group-IB. Strong The One. Low disse que usar a função de acessibilidade era uma “abordagem muito mais invasiva em comparação à geração de arquivos falsos individuais da web para cada alvo específico”.
Os desenvolvedores do GoldDigger deixaram pistas de que suas ambições podem ir além do Vietnã. O malware inclui traduções em chinês e espanhol, sugerindo que os países onde esses idiomas são falados podem ser os próximos alvos.
Uma maneira pela qual a empresa de segurança observou que o malware poderia ser evitado – além da verificação usual de atualizações, cuidado com permissões incomuns e adoção de serviços de proteção contra fraudes – é manter a configuração “Instalar de fontes desconhecidas” desativada por padrão em dispositivos Android. Somente se a configuração estiver ativada os APKs de fontes fora da Google Play Store poderão ser instalados. ®
.
