Trojan bancário assume o comando do smartphone para gravar a tela e capturar senhas no Android.
Um novo malware chamado Vultur pode gravar a tela do celular para roubar dados dos usuários de Android. A ameaça pode transmitir todas as atividades da vítima no smartphone para os cibercriminosos, e expor as senhas registradas no teclado virtual, como dados de acesso a aplicativos bancários, informações sobre páginas na web e serviços que possam armazenar dados sensíveis. O trojan bancário tem rápida disseminação e já infectou entre 5 mil a 8 mil smartphones, segundo relatório da empresa de segurança Threat Fabric liberado nesta quinta-feira (29).
O app malicioso foi programado, inicialmente, com o intuito de roubar dados bancários em apps de instituições financeiras da Itália, Espanha, Austrália, Holanda e Reino Unido. Em busca de lucro rápido, os golpistas também direcionam os ataques para carteiras digitais de criptomoedas, serviços de pagamento instantâneo, redes sociais e mensageiros, como WhatsApp, TikTok, Facebook e Messenger.
O Vultur pode até ser uma ameaça inédita, mas seu comportamento é conhecido. Ele é uma variante de ameaças já conhecidas que infectam smartphones a partir de falsas telas de login sobrepostas em aplicativos instalados pelo usuário, para roubar as senhas de login da vítima. Ele é capaz de iniciar o servidor VNC do telefone para transmitir as capturas de tela para o cibercriminoso, que monitora as atividades da vítima. Assim, o operador do malware pode roubar as senhas dos aplicativos e serviços capturados pelo Vultur.https://6f73f0c46dfe32fd1fd39519b8c5393a.safeframe.googlesyndication.com/safeframe/1-0-38/html/container.html
Além de coletar tudo o que a vítima digita no celular, o malware pode compartilhar a lista de aplicativos instalados para conferir se ela possui ativos valiosos em apps bancários. O Vultur se mantém no smartphone pressionando automaticamente o botão “Voltar” toda vez que os usuários acessam a tela de remoção do app malicioso onde ele está escondido no celular, por conta da permissão a recursos de acessibilidade do sistema concedida no momento de instalação.
O Vultur é instalado em celulares pela Google Play Store. Ele foi detectado em smartphones que foram previamente infectados pelo malware Brunhild, também famoso por ser disseminado em loja de apps do Android. O maior indício que o smartphone está infectado pelo Vultur está no indicador Protection Guard do Android. Sempre que o malware transmite a tela do usuário, esse aviso é ativado no painel de notificações do sistema.
Segundo a empresa de segurança digital Threat Fabric, o malware foi identificado em março de 2021. “Pela primeira vez estamos diante de um trojan bancário para Android que usa gravação de tela e keyloggin como estratégia principal para coletar dados de login de forma automatizada e escalonável”, afirma a empresa em seu relatório.