Descoberto recentemente por investigadores de cibersegurança da Trend Micro, o CheeryBlos e o FakeTrade, são duas famílias de malware especialmente concebidas para o sistema Android, e com uma peculiaridade alarmante: uma delas é capaz de extrair informação contida em fotos e imagens.
Estas duas ameaças foram identificadas em diversas aplicações, algumas das quais chegaram mesmo a ser disponibilizadas na Google Play, a loja oficial de apps do Android. Uma delas, a SynthNet, chegou a ser descarregada cerca de mil vezes antes de ser removida.
Como é que estes malwares são disseminados?
Além da Google Play, estes malwares foram disseminados por canais comuns de distribuição, como redes sociais e sites de phishing. Através de plataformas como o Telegram, Twitter, e YouTube, os atores da ameaça promoviam as apps como ferramentas de IA ou mineiros de criptomoeda. Entre as aplicações identificadas encontram-se a GPTalk, Happy Miner, e Robot999. Se tens alguma destas instaladas no teu smartphone, desinstala-as já.
O principal objetivo destes malwares é roubar dados importantes dos dispositivos infetados, incluindo qualquer criptomoeda que possas ter na tua carteira de aplicações móveis.
Técnicas de roubo de dados e criptomoedas
Uma das formas como este malware atua é através do recurso a interfaces de utilizador falsas (ou invisíveis) que se sobrepõem às aplicações de criptomoeda. Assim que inseres as tuas credenciais nestas interfaces falsas, elas são automaticamente entregues aos atacantes.
Outra técnica utilizada passa por sequestrar a área de transferência. Se copiares uma carteira de criptomoeda, o malware substitui a tua cópia por um endereço pertencente aos atacantes. Assim, quando colares o endereço, a menos que verifiques letra a letra, estarás a enviar o teu dinheiro para os criminosos.
Finalmente, o método mais inovador utilizado passa pelo recurso a tecnologia de reconhecimento ótico de caracteres, também conhecida como OCR. Esta tecnologia permite ao dispositivo “ler” o texto numa foto ou imagem. Com o malware a usar o OCR, consegue varrer a galeria de fotos do teu smartphone à procura de imagens relevantes e extrair os dados para os servidores controlados pelos atacantes.
Qual a relevância desta descoberta?
A criptomoeda, especialmente Bitcoin e Ether, ainda é muito popular em todo o mundo, e com a próxima divisão da Bitcoin prevista para maio do próximo ano, muitas pessoas já estão a acumular criptomoeda em antecipação da próxima onda de valorização que poderá fazer a Bitcoin ultrapassar os $100.000 por moeda.
Isto deixa muitas pessoas, especialmente novatos no mercado, vulneráveis a esquemas e ataques. Uma vez iniciada uma transferência de criptomoeda, é impossível revertê-la. Além disso, a maioria das carteiras de criptomoeda são atualmente protegidas por frases de recuperação – uma sequência de 12 ou 24 palavras que podem ser usadas para restaurar uma carteira, caso seja perdida ou a password esquecida.
Muitas pessoas acabam por tirar fotos das suas frases de recuperação e guardá-las nos seus smartphones ou serviços de cloud. Se um malware com OCR encontrar estas fotos, os criminosos podem facilmente tomar controlo da carteira e esvaziá-la em segundos.
E tu, já te protegeste?
Se quiseres aprender mais sobre malware Android e como te manteres seguro, lê o nosso guia para as melhores aplicações de antivírus para Android, e os melhores smartphones Android em geral. Lê também o nosso guia sobre os melhores firewalls, e a melhor proteção contra roubo de identidade disponível. Protege-te, não sejas a próxima vítima.
Outros artigos interessantes: