Agentes de ameaças vem distribuindo aplicativos maliciosos sob o disfarce de aplicativos de compras aparentemente inofensivos para atingir clientes, desde pelo menos novembro de 2021.
Os ataques envolveram a criação de sites fraudulentos, mas de aparência legítima, para induzir os usuários a baixar os aplicativos, disse pesquisadores em um relatório compartilhado.
Os sites imitadores imitavam serviços de limpeza como Maid4u, Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy e MaidACall e uma loja de animais chamada PetsMore.
“Os agentes de ameaças usam esses aplicativos falsos de e-shop para phishing de credenciais bancárias”, disse a os pesquisadores. “Os aplicativos também encaminham todas as mensagens SMS recebidas pela vítima para os operadores de malware, caso contenham códigos 2FA enviados pelo banco”.
Os sites, distribuídos por meio de anúncios do Facebook, pedem aos visitantes que baixem o que os invasores afirmam ser aplicativos Android disponíveis na Google Play Store, mas na realidade os redirecionam para servidores não autorizados sob seu controle.
Vale a pena notar aqui que o ataque depende do pré-requisito de que as vítimas em potencial habilitem a opção não padrão “Instalar aplicativos desconhecidos” em seus dispositivos para que seja bem-sucedido. Além disso, cinco dos serviços abusados nem sequer têm um aplicativo no Google Play.
Uma vez iniciados, os aplicativos solicitam que os usuários façam login em suas contas, permitindo que eles façam pedidos falsos, após as quais as opções são apresentadas para concluir o processo de checkout, incluindo uma transferência de fundos de suas contas bancárias.
“Depois de escolher a opção de transferência direta, as vítimas são apresentadas a uma página de pagamento FPX falsa e solicitadas a escolher seu banco entre os oito bancos fornecidos e, em seguida, inserir suas credenciais”, disse um dos pesquisadores.
O objetivo final da campanha é roubar as credenciais bancárias inseridas pelos usuários e extraí-las para o servidor controlado pelo invasor, enquanto exibe uma mensagem de erro informando que o ID do usuário ou a senha inseridos são inválidos.
Além disso, os aplicativos falsos são projetados para acessar e transmitir todas as mensagens SMS recebidas pelos usuários para o servidor remoto caso as contas bancárias sejam protegidas por autenticação de dois fatores.
“Embora a campanha tenha como alvo exclusivo o sudeste da Ásia por enquanto, ela pode se expandir para outros países e bancos mais tarde”, disse um dos pesquisadores. “Neste momento, os invasores estão atrás de credenciais bancárias, mas também podem permitir o roubo de informações de cartão de crédito no futuro”.
REFERÊNCIAS:
https://thehackernews.com/2022/04/hackers-distributing-fake-shopping-apps.html
https://www.welivesecurity.com/2022/04/06/fake-eshops-prowl-banking-credentials-android-malware/