Malware bancário disfarçado de app legítimo

apps_atingidosA ESET revelou nesta semana uma nova família de malware bancário direcionada a usuários brasileiros. Sua propagação ocorre por meio da loja oficial do Google Play e de anúncios patrocinados no Facebook.

Trata-se de um malware bancário que simula ser um aplicativo para melhorar o desempenho do dispositivo, com o nome “Cleand Droid” e que registrou mais de 500 instalações; um app para monitorar o Facebook chamado “Quem viu teu perfil” e que contou com mais de 10 mil instalações; e outro denominado “MaxCupons” e que obteve mil downloads da loja oficial do Google.

Segundo Lukas Stefanko, pesquisador de malwares da ESET, explica que, para ficar fora do alcance dos radares, esses aplicativos maliciosos só poderiam ser baixados e instalados no Brasil. Os apps já foram reportados para a equipe de segurança do Google.

De acordo com os dados registrados, o app “Quem viu teu perfil” estava disponível no Google Play há pelo menos um mês. Já as duas páginas do Facebook foram criadas no dia 24 de outubro e usam a mesma imagem de perfil da loja do Google. Uma das páginas estava localizada na cidade de São Paulo, conforme a descrição no Facebook, provavelmente para atrair mais pessoas dessa cidade em particular.

Função maliciosa desses aplicativos

Depois de instalados, os apps solicitavam que os usuários ativassem os serviços de acessibilidade. Dessa forma, o malware obtinha o nome e o conteúdo de aplicativos legítimos que tivessem sido executados. O objetivo desses malwares é induzir os usuários a inserir seus dados de acesso no contexto de uma atividade falsa. Assim, essa família de trojans tentava afetar cerca de 26 aplicativos móveis legítimos, dos quais nem todos são apps bancários, mas também financeiros, de entretenimento, mídias sociais, compras online, entre outros.

Na ilustração deste post você pode ver a lista de aplicativos legítimos afetados pela nova família de malware para Android.

Como remover esses apps maliciosos?

Segundo Stefanko, os cibercriminosos por trás dessa ameaça não implementaram nenhum tipo de proteção para impedir ou dificultar a desinstalação dos aplicativos, portanto, basta entrar na configuração e na lista de aplicativos instalados e clicar na opção “desinstalar”.

Fonte: IDGNow!

A volta de um malware para Android com mais poderes

A companhia de segurança Trend Micro descobriu que um antigo malware do Android voltou a atuar ainda mais forte do que antes. Chamado de GhostCtrl, o software malicioso se passa por apps legítimos a fim de infectar o seu dispositivo e, com isso, transforma o seu dispositivo em um espião, além de permitir que hackers controle o dispositivo remotamente e à sua revelia.

Segundo os pesquisadores da empresa holandesa, foram encontradas três variações do GhostCtrl, com duas delas sendo capazes de danificar dados e controlar diversas funções de um dispositivo. A terceira, porém, é ainda pior, pois combina o que há de melhor nas duas primeiras e ainda oferece mais perigo.

Ainda de acordo com a Trend Micro, este “novo” malware é, na verdade, uma evolução de um antigo conhecido. O GhostCtrl teria sido criado a partir do OmniRAT, um exploit descoberto há algumas semanas e responsável por roubar dados de hospitais em Israel ao sequestrar remotamente computadores com Linux, Mac e Windows via Android.

Se apresenta disfarçado

Como é comum na atuação de malwares, o GhostCtrl se espalha disfarçado como apps legítimos. Segundo a Trend Micro, ele se camufla como aplicativos legítimos, como WhatsApp e Pokémon GO, para instalar o malware em si abrir uma backdoor nos dispositivos infectados. Essa brecha de segurança é aproveitada por hackers, que começam a realizar uma série de ações sem o conhecimento (muito menos a autorização) do usuário.

Isso permite, por exemplo, que alguém colete informações privadas em um smartphone (como registro de chamadas ou SMSs), envie mensagens de texto ou faça ligações, apague, copie ou altere arquivos armazenados no gadget, baixe novos arquivos, controle o sistema infravermelho do aparelho e muito mais.

Até mesmo modificar senhas e ativar ou desativar as conexões Bluetooth estão entre as possibilidades, denotando o risco do GhostCtrl. Para evitar problemas com esse tipo de malwre, a dica dada pelos especialistas é manter o Android sempre atualizado e também restringir as permissões dos aplicativos em relação aos seuis daos mais sensíveis.

Fonte: Tecmundo

Malware usa disfarce de arquivo de imagem e vídeo para enganar usuários do Facebook

fakebook_chamadaO pesquisador de segurança Bart Blaze revelou um malware que tem enganado muitos usuários do Facebook ao se disfarçar de um arquivo de imagem e depois até mesmo de um vídeo do YouTube.

O processo funciona assim: uma conta comprometida da rede social envia através do chat um arquivo de extensão “.svg”, que foi renomeado para lembrar uma foto. O detalhe é que arquivos deste tipo podem conter conteúdo embutido, como JavaScript, por exemplo, coisas que podem ser abertas por um navegador mais moderno.

Após clicar no link da suposta imagem, o usuário é redirecionado a um site falso que tenta imitar o YouTube. Apesar de não ativar nenhum alarme por parte do navegador ou de um possível anti-vírus, o site pede para o usuário baixar uma extensão de codec no Chrome para ver o vídeo.

E é aí que mora o problema. Após a extensão ser instalada, ela ganha a possibilidade de alterar os dados do usuário em relação aos sites que ele visita. De acordo com Bart Blaze, a extensão também passa a espalhar a enviar os arquivos “.svg” para os seus amigos do Facebook.

Não se sabe como isso passou pelo filtro de extensão de arquivo do Facebook, mas a equipe de segurança do site foi já foi notificada do ocorrido. Além disso, a extensão foi removida do Chrome.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Adrenaline

Ransomware se disfarça de atualização do Windows

fanton_ransonUma nova modalidade de ransomware parece estar tirando o sono de usuários mais incautos. O Fantom, descoberto pelos especialistas em segurança da AVG, se disfarça de uma atualização do Windows, com direito a telas de atualização e progresso semelhantes às da Microsoft, mas em vez de aplicar melhorias e correções no sistema operacional, criptografa e bloqueia completamente o acesso aos dados do próprio usuário.

Como sempre acontece, o “sequestro” como o nome indica, solicita dinheiro em troca da liberação. A tela de progresso da instalação, na verdade, indica o andamento do trancamento dos dados e, na sequência, o usuário é surpreendido com uma tela que contém o e-mail e as instruções para pagamento ao hacker responsável pelo ataque.

O funcionamento da negociação tem até mesmo uma dinâmica própria. Cada vítima tem sua própria chave de criptografia, que deve ser informada ao criminoso por e-mail. Na sequência, ele enviaria de volta uma chave que garantiria o desbloqueio de dois arquivos, para comprovar que ele possui a solução. Mediante o pagamento de um valor não mencionado, um software é enviado ao infectado para que a liberação do computador aconteça.

Táticas de medo, comuns em ransomwares, também são aplicadas aqui. O hacker afirma não ser capaz de armazenar as chaves de desbloqueio de todas as suas vítimas e, sendo assim, afirma que elas serão descartadas no período de sete dias a partir da infecção inicial. O responsável pelo golpe ainda deixa claro: não adianta tentar quebrar a criptografia por outros meios, já que isso pode apenas danificar ainda mais os dados. A única maneira de reaver o acesso é pagando o “resgate”.

A infecção ocorre por meio de um pop up, que pode ser exibido em sites infectados, ou por meio de sistemas de propaganda até mesmo em serviços legítimos. A comunicação, como sempre, envolve a necessidade do download de atualizações para corrigir falhas críticas ou problemas de segurança. O que acontece, entretanto, é sempre o oposto.

Além disso, nem mesmo existe qualquer garantia de que o pagamento vai efetivamente gerar a liberação dos dados. A vítima está totalmente nas mãos dos criminosos, por isso, o ideal, como sempre, é tomar ações preventivas. Tenha sempre softwares antivírus instalados e atualizados, bem como firewalls e outros sistemas de segurança ativos. Evite clicar em links enviados por e-mail, mensageiros e outros meios, bem como em ofertas que pareçam boas demais para serem verdade, ou alarmistas em demasia.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Apps de phishing se disfarçam na Google Play

apps_maliciososSegundo empresa de segurança, criminosos criam aplicativos falsos que imitam serviços de pagamento e de cartões para enganar usuários.

Os esforços do Google para proteger a sua loja de aplicativos Android, a Play Store, estão longe de serem perfeitos. Isso porque apps maliciosos costumam conseguir burlar o processo de revisão da plataforma, como aconteceu recentemente com vários aplicativos de phishing que se disfarçam como aplicativos de pagamentos.

Pesquisadores da empresa de segurança PhishLabs alegam ter descoberto 11 aplicativos desse tipo na Google Play desde o início de 2016, sendo que a maioria foi criada pelo mesmo grupo de hackers.

Os apps em questão são simples, mas eficientes. Eles carregam páginas web contendo formulários de login que se parecem com os sites das empresas que são seus alvos. Essas páginas são carregadas a partir de nomes de domínio registrados pelos criminosos. Mas como são carregadas dentro dos apps, os usuários não veem a sua verdadeira localização.

Em alguns casos, os criminosos registraram nomes de domínio que são parecidos com aqueles dos serviços de pagamentos on-line imitados, aponta o analista da companhia, Joshua Shilko.

A PhishLabs não revelou exatamente quais empresas de cartão de crédito e pagamentos online foram alvos dos ataques por esses aplicativos falsos. Mas a maioria dessas empresas fornecem links para seus aplicativos móveis diretamente pelos seus sites e os usuários devem sempre preferir usar esse caminho para baixá-los.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now

Ransomware tenta se fazer passar por “teste” de antivírus

cryptowallO vírus “CryptoWall”, que embaralha dados de arquivos para sequestrá-los e exigir o pagamento de um resgate, ganhou uma atualização. O novo código, chamado de versão 4, ridiculariza usuários e empresas de segurança: a praga diz que “não é prejudicial” e na verdade serve como um “teste para o antivírus”.

Logo no início da mensagem, a vítima recebe um “parabéns”. “Você acabou se tornar parte da grande comunidade CryptoWall”. O texto está em inglês, mas parece ter sido escrito por alguém sem muita fluência na língua. As empresas de segurança Sophos e Palo Alto Networks divulgaram imagens da nova mensagem do vírus.

“Este projeto é conduzido somente com finalidade educacional em segurança da informação, além de certificação de produtos antivírus para sua capacidade de proteção de dados”, diz a mensagem do vírus para o usuário.

O CryptoWall ainda diz que seu nome é “CryptoWall Protect”, em uma alusão à ideia de que a praga é um “projeto de segurança”. E ameaça o usuário dizendo que ele não deve buscar nenhuma solução além da proposta do vírus – pagar o resgate. “Fomos nós que colocamos uma trava em seus arquivos e somos os únicos com a misteriosa chave para abri-los”, diz.

Infelizmente, as ameaças do vírus não são vazias: não há meio conhecido para decifrar os arquivos embaralhados pelo CryptoWall. Para recuperar os dados é preciso ter uma cópia de segurança (backup).

Além da nova mensagem irônica, o CryptoWall 4 é mais econômico no tráfego de dados com sua infraestrutura. De acordo com a Palo Alto Networks, o novo comportamento dificulta o trabalho de sensores de rede que tentam detectar o vírus em empresas.

Outra novidade é que o vírus agora embaralha também o nome dos arquivos. Com isso, não é possível nem sequer saber quais arquivos foram bloqueados pelo vírus.

Ainda de acordo com a Palo Alto Networks, casos com a nova versão ainda não são muito frequentes. De acordo com um relatório da Cyber Threat Alliance, da qual fazem parte a Intel, a Palo Alto Networks, a Symantec e a Fortinet, a gangue responsável pelo CryptoWall teria causado prejuízos estimados em US$ 325 milhões (R$ 1,2 bilhão).

O CryptoWall também está entre os 10 vírus mais comuns na América Latina, segundo um relatório da empresa de segurança FireEye.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Malware para Android se disfarça de Google Play

android_malwareNão são poucos os vírus para Android, mas alguns se destacam pelas táticas usadas para enganar os usuários. Um deles chamou a atenção da empresa de segurança FireEye, que descobriu um malware que se disfarçava como um ícone da Google Play Store logo na tela inicial do dispositivo.

Ao se instalar no aparelho, o aplicativo, que solicitava permissões de administrador, apresenta dois pop-ups: “Erro do Programa” e depois “Este foi deletado”. No entanto, a partir deste momento, o vírus se espalha pelo sistema com códigos criados para roubar mensagens SMS, certificados e senhas bancárias.

Embora a tática seja inteligente, é importante observar que o cibercriminoso não foi exatamente cuidadoso na hora de fazer isso. O aplicativo tem o nome de “Googl App Stoy”, o que deveria levantar desconfianças imediatamente. Por isso, vale ressaltar a necessidade de atenção sobre o que é instalado no seu celular, principalmente se a origem do app não é o Google Play.

A empresa diz que a partir do momento da instalação, o usuário não conseguiria mais removê-lo do celular, já que o malware continua operando como serviços de fundo. É até possível interromper suas funções, mas após a reinicialização do celular, tudo voltava ao estado inicial.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital