Este Malware Android Executa Automaticamente E Pode Roubar Dados Sensíveis

Pesquisadores de cibersegurança da McAfee descobriram que uma versão atualizada do malware Android, XLoader, pode iniciar automaticamente em smartphones Android infectados após a instalação, sem a necessidade de qualquer interação do usuário.

XLoader, também conhecido como MoqHao, é uma variante de malware que provavelmente foi criada por um ator de ameaça motivado financeiramente chamado ‘Roaming Mantis’.

Esse malware é distribuído principalmente por meio de links de URL encurtados em mensagens de texto em dispositivos Android, que, quando clicados, redirecionam você para um site para baixar um arquivo de instalação APK Android para um aplicativo móvel.

Isso permite que o malware funcione silenciosamente em segundo plano e extraia informações pessoais e privadas de dispositivos comprometidos, incluindo metadados do dispositivo, fotos, mensagens de texto, listas de contatos, números de chamadas específicas em modo silencioso e, potencialmente, informações bancárias, entre outras coisas.

“Um MoqHao típico requer que os usuários instalem e iniciem o aplicativo para atingir seu objetivo desejado, mas essa nova variante não requer execução. Enquanto o aplicativo está instalado, sua atividade maliciosa começa automaticamente,” explica a McAfee, parceira da App Defense Alliance do Android, em um relatório publicado esta semana.

“Já relatamos essa técnica ao Google e eles já estão trabalhando na implementação de mitigação para prevenir esse tipo de auto-execução em uma futura versão do Android.”

Para enganar o usuário, o malware se disfarça como um aplicativo legítimo, muitas vezes fingindo ser o navegador Google Chrome. Ele usa strings Unicode nos nomes dos aplicativos para ofuscação, o que permite que busque permissões arriscadas no dispositivo, como enviar e acessar conteúdo de SMS, e para poder sempre funcionar em segundo plano ao adicionar uma exclusão da Otimização de Bateria do Android.

Além disso, o aplicativo falso do Chrome também pergunta aos usuários se eles desejam configurá-lo como o aplicativo SMS padrão sob o pretexto de que isso ajudará a prevenir spam.

Além disso, o malware também emprega mensagens de phishing, cujo conteúdo é extraído do campo bio (ou descrição) de perfis fraudulentos do Pinterest, que são então enviados para smartphones infectados para evitar a detecção por software antivírus.

Se o malware não conseguir acessar o Pinterest, ele usa mensagens de phishing codificadas que notificam potenciais vítimas de que há algo suspeito em sua conta bancária e que precisam agir imediatamente.

Os pesquisadores da McAfee notaram que algumas mensagens pop-up maliciosas exibidas pediam permissões em inglês, coreano, francês, japonês, alemão e hindi, o que também indica os alvos atuais do XLoader. Eles acreditam que, além do Japão, o malware também está visando usuários Android na Coreia do Sul, França, Alemanha e Índia.

Para se proteger do malware XLoader, os usuários são aconselhados a não instalar aplicativos de fontes não confiáveis ou abrir URLs curtas em mensagens de texto e a ter muito cuidado ao conceder permissões aos aplicativos que instalarem. Além disso, limite o número de aplicativos instalados em seu telefone Android e instale aplicativos apenas de desenvolvedores respeitáveis.

Além disso, ative o Google Play Protect em seu smartphone Android para que ele possa escanear todos os seus aplicativos atuais e quaisquer novos aplicativos que você baixar em busca de malware.

Além disso, considere instalar software antivírus adicional para Android para maior segurança.