Uma nova variante do conhecido vírus XLoader, para o Android, é capaz de funcionar “sozinha” após ser baixada para o celular. A praga foi descoberta na última semana e é disseminada por SMS e APKs maliciosos do sistema operacional, rodando em segundo plano após a instalação para roubar dados e interceptar códigos de autenticação em duas etapas.
A partir de uma mensagem de texto, os bandidos distribuem o malware como se fosse uma atualização do navegador Google Chrome. Uma vez baixado, o software malicioso também utiliza o nome do browser do Google para pedir permissões ao usuário, envolvendo o gerenciamento de SMS e possibilidade de rodar em segundo plano. São as únicas interações necessárias para que a praga comece a agir.
Vírus age "sozinho"
Não é preciso executar o APK manualmente para que o vírus se instale no celular, com as autorizações solicitadas sendo plenamente capazes de enganar um utilizador leigo, que acredite estar atualizando o Chrome. Com acesso à caixa de mensagens de texto, o novo vírus recebe a capacidade de se comunicar com seus servidores de controle para enviar as informações furtadas do usuário e receber novos comandos.
O alerta foi feito pela empresa de cibersegurança McAfee, que atribuiu as atividades a um grupo cibercriminoso conhecido como Roaming Mantis. O bando tem bancos, fintechs e outros sistemas financeiros como alvo primordial de ataques já registrados em países das EUA, Europa e também nos Estados Unidos; com a variante do XLoader, os focos principais parecem ser Japão e Coreia.
Esse direcionamento aparece no uso de perfis no Pinterest para envio de comandos, que também chamou a atenção dos pesquisadores por estarem nos idiomas locais. A rede social serve para controlar a praga, com o acesso a páginas específicas possibilitando a localização de URLs que, por sua vez, dão ordens específicas ao vírus. Além de interceptar SMS, ele também é capaz de coletar dados técnicos do smartphone, como IMEI, serial e número de telefone, baixar novas pragas ou obter imagens e arquivos de mídia.
Google está ciente de ataques
Além de divulgar o alerta sobre a nova variação do XLoader, a McAfee também contatou o Google. Aos especialistas, a empresa informou já estar trabalhando em medidas de proteção adicional para impedir que malwares dessa categoria sejam executados automaticamente em dispositivos Android, que devem ser incluídas em versões futuras da plataforma.
Enquanto isso, os pesquisadores apontam que o sistema Google Play Protect já é capaz de detectar e coibir os ataques. O recurso vem ativado como padrão em smartphones com o sistema operacional e bloqueia a execução automática do vírus, mitigando ainda mais o alcance da praga.
Comentários